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本 书 着 重 介 绍 现代 密码 学 的 加 密 思想 及 其 实现 方法 。 内 容 涉 及 数论 、 概 率 论 、 抽 
象 代数 ， 还 描述 了 加 密 算法 的 思想 及 复杂 度 理论 。 本 书 可 作为 高 校 信息 安全 专业 密 
码 学 导论 课程 的 教材 。 


本 书 主要 内 容 包括 : 

e 介绍 密码 学 的 历史 沿革 ， 剖析 古典 的 加 密 算法 为 何 会 被 现代 的 加 密 算 法 所 取代 
e 古典 和 现代 密码 学 体系 的 数学 理论 基础 

e 各 种 加 密 算法 的 密码 分 析 方 法 

® .展望 密码 编码 领域 的 未 来 


者 Paul Garrett 1973 年 21 岁 时 获 普 渡 大 学 硕士 学 位 ，1977 年 于 普林斯顿 大 
简 ， 学 获 博士 学 位 ， 之 后 在 耶鲁 大 学 任教 。1979 ~ 1981 年 在 加 州 大 学 伯克利 分 校 获 得 美国 国 
介 | 家 科学 基金 会 资助 的 博士 后 奖学金 ，1979 年 成 为 斯 坦 福 大 学 副教授 ， 自 1982 年 起 .Paul 
Garrett 开 始 在 明尼苏达 大 学 授课 ，1987 年 成 为 该 校 教 授 ， 目 前 他 是 该 校 数 学 系 研究 生 教学 
| 主任， 指导 着 13 位 博士 。Paul Garrett 主 要 的 研究 方向 是 数论 ， 并 由 此 而 对 密码 学 、 计 算 及 算 
| 法 产生 了 兴趣 。 著 有 《Holomorphic Hilbert Modular Forms》、 《Buildings and Classical 
Groups》 ， 以 及 两 本 密码 学 教材 
Paul Garrett 欢 迎 读 者 们 访问 他 的 本 人 网 址 http:/“ www.math.umn.edu” garrett 7/ ， 
并 希望 能 跟 志 同道 合 者 深入 探讨 和 研究 。 
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本 书 着 重 介绍 现代 密码 学 的 加 密 思 想 及 其 实现 方法 ， 内 容 涉 及 数论 、 概 率 论 、 抽 象 代数 、 
加 密 算法 的 思想 及 复杂 度 理 论 。 本 书 介绍 了 密码 学 的 历史 沿革 ， 齐 析 了 古典 的 加 密 算法 为 何 会 
被 现代 的 加 密 算法 所 取代 ， 展 望 了 密码 编码 领域 的 发 展 ， 为 古典 和 现代 密码 体系 提供 了 数学 理 
论 基础 ， 还 给 山 了 - 些 针对 各 种 加 密 算法 的 密码 分 析 方 法 。 

本 书 适合 作为 高 校 计算 机 安全 与 信息 安全 专业 密码 学 导论 的 简明 教材 ， 也 可 供 对 密码 学 、 
数论 和 计算 机 数论 有 兴趣 的 技术 人 员 参 考 。 
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出 版 者 的 话 


文艺 复兴 以 降 ， 源远流长 的 科学 精神 和 逐步 形成 的 学 术 规 范 ， 使 西方 国家 在 自然 科学 的 
各 个 领域 取得 了 垄断 性 的 优势 ; 也 正 是 这 样 的 传统 ， 使 美国 在 信息 技术 发 展 的 六 十 多 年 间 名 
家 辈出 、 独 领 风骚 。 在 商业 化 的 进程 中 ， 美 国 的 产业 界 与 教育 界 越 来 越 紧密 地 结合 ， 计 算 机 
学 科 中 的 许多 泰山 北斗 同时 身 处 科研 和 教学 的 最 前 线 ， 由 此 而 产生 的 经 典 科学 著作 ， 不 仅 壁 
划 了 研究 的 范畴 ， 还 揭 玩 了 学 术 的 源 变 ， 既 遵循 学 术 规 范 , .又 自 有 学 者 个 性 ， 其 价值 并 不 会 
因 年 月 的 流逝 而 减退 。 

近年 ， 在 全 球 信息 化 大 潮 的 推动 下 ， 我 国 的 计算 机 产业 发 展 迅 猛 ， 对 专业 人 才 的 需求 日 
益 迫 切 。 这 对 计算 机 教育 界 和 出 版 界 都 既是 机 遇 ， 也 是 挑战 ， 而 专业 教材 的 建设 在 教育 战略 
上 显得 举足轻重 。 在 我 国信 息 技术 发 展 时 间 较 短 、 从 业 人 员 较 少 的 现状 下 ， 美 国 等 发 达 国 家 
在 其 计算 机 科学 发 展 的 几 十 年 间 积 淀 的 经 典 教材 仍 有 许多 值得 借鉴 之 处 。 因 此 ， 引 进 一 批 国 
外 优秀 计算 机 教材 将 对 我 国 计 算 机 教育 事业 的 发 展 起 积极 的 推动 作用 ， 也 是 与 世界 接轨 、 建 
设 真正 的 世界 一 流 大 学 的 必由之路 。 

机 械 工业 出 版 社 华章 图 文 信息 有 限 公 司 较 早 意 识 到 “出 版 要 为 教育 服务 "。 自 1998 年 开始 ， 
华章 公司 就 将 工作 重点 放 在 了 六 选 、 移 译 国外 优秀 教材 上 。 经 过 几 年 的 不 懈 努 力 ， 我 们 与 
Prentice Hall，Addison-Wesley，McGraw-Hill，Morgan Kaufmann 等 世界 著名 出 版 公司 建立 了 
良好 的 合作 关系 ， 从 它们 现 有 的 数 折 种 教材 中 甄选 出 Tanenbaum，Stroustrup ，Kernighan， 
Jim Gray 等 大 师 名 家 的 一 批 经 典 作 品 ， 以 “计算 机 科学 丛书 ”为 总 称 出 版 ， 供 读者 学 习 、 研 
究 及 皮 藏 。 大 理 石 纹理 的 封面 ， 也 正体 现 了 这 套 丛 书 的 品位 和 格调 。 

“计算 机 科学 丛书 ”的 出 版 工作 得 到 了 国内 外 学 者 的 易 力 训 助 ， 国 内 的 专家 不 仅 提供 了 中 
肯 的 选 题 指 导 ， 还 不 酬劳 苦 地 担任 了 翻译 和 审 校 的 工作 ; 而 原 书 的 作者 也 相当 关注 其 作品 在 
中 国 的 传播 ， 有 的 还 专 诚 为 其 书 的 中 译本 作 序 。 迄 今 ,“ 计 算 机 科学 丛书 ”已 经 出 版 了 近 百 个 
品种 ， 这 些 书 籍 在 读者 中 树立 了 和 良好 的 口碑 ， 并 被 许多 高 校 采 用 为 正式 教材 和 参考 书籍 ， 为 
进一步 推广 与 发 展 打下 了 坚实 的 基础 。 

随 着 学 科 建 设 的 初步 完善 和 教材 改革 的 逐渐 深化 ， 教 育 界 对 国外 计算 机 教材 的 需求 和 应 
用 都 步 人 一 个 新 的 阶段 。 为 此 ， 华 章 公司 将 加 大 引进 教材 的 力度 ， 在 “华章 教育 ”的 总 规划 
之 下 出 版 三 个 系列 的 计算 机 教材 : 除 “ 计 算 机 科学 丛书 ”之 外 ， 对 影印 版 的 教材 ， 则 单独 开 
辟 出 “经 典 原版 书库 ”; 同时， 引进 全 美 通行 的 教学 辅导 书 “Schaum's Outlines” 系 列 组 成 
“全 美 经 典 学 习 指 导 系 列 "。 为 了 保证 这 三 套 从 书 的 权威 性 ， 同 时 也 为 了 更 好 地 为 学 校 和 老师 
们 服务 ， 华 章 公 司 聘请 了 中 国 科学 院 、 北 京 大 学 、 清 华 大 学 、 国 防 科技 大 学 、 复 旦 大 学 、 上 
海 交 通 大 学 、 南 京 大 学 、 浙 江 大 学 、 中 国 科技 大 学 、 哈 尔 滨 工业 大 学 、 西 安 交 通 大 学 、 中 国 
人 民 大 学 、 北 京 航空 航天 大 学 、 北 京 邮 电大 学 、 中 山大 学 、 解 放 军 理工 大 学 、 郑 州 大 学 、 湖 
北 工学 院 、 中 国 国 家 信息 安全 测评 认证 中 心 等 国内 重点 大 学 和 科研 机 构 在 计算 机 的 各 个 领域 
的 著名 学 者 组 成 “专家 指导 委员 会 * ， 为 我 们 提供 选 题 意见 和 出 版 监督 。 

这 三 套 丛 书 是 响应 教育 部 提出 的 使 用 外 版 教材 的 号 召 ， 为 国内 高 校 的 计算 机 及 相关 专业 


的 教学 度 身 订 造 的 。 其 中 许多 教材 均 已 为 M. I. T.，Stanford，U.C. Berkeley，C. M. U. 等 世界 
名 牌 大 学 所 采用 。 不 仅 涵 盖 了 程序 设计 、 数 据 结构 、 操 作 系统 、 计 算 机 体系 结构 、 数 据 库 、 
编译 原理 、 软 件 工程 、 图 形 学 、 通 信 与 网 络 、 离 散 数学 等 国内 大 学 计算 机 专业 普遍 开设 的 核 
心 课程 ， 而 且 各 具 特 色 一 一 有 的 出 自 语言 设计 者 之 手 、 有 的 历经 三 十 年 而 不 吉 、 有 的 已 被 全 
世界 的 几 百 所 高 校 采 用 。 在 这 些 圆 熟 通 博 的 名 师 大 作 的 指引 之 下 ， 读 者 必 将 在 计算 机 科学 的 
宫殿 中 由 登 堂 而 人 室 。 

权威 的 作者 、 经 典 的 教材 、 一 流 的 译 者 、 严 格 的 审 校 、 精 细 的 编辑 ， 这 些 因素 使 我 们 的 
图 书 有 了 质量 的 保证 ， 但 我 们 的 目标 是 尽善尽美 ， 而 反馈 的 意见 正 是 我 们 达到 这 一 终极 目标 
的 重要 帮助 。 教 材 的 出 版 只 是 我 们 的 后 续 服 务 的 起 点 。 华 章 公 司 欢迎 老师 和 读者 对 我 们 的 工 
作 提 出 建议 或 给 予 指正 ， 我 们 的 联系 方法 如 下 : 


电子 邮件 : hzedu@hzbook.com 

联系 电话 : ( 010 ) 68995264 

联系 地 址 : 北京 市 西城 区 百 万 庄 南 街 1 号 
邮政 编码 : 100037 


专家 指导 委员 会 
( 按 姓氏 笔画 顺序 ) 
天  ， 汉 博 琴 史 忠 植 史 美 林 


李 伟 琴 李 师 贤 李 建 中 杨 冬青 
陆 丽 娜 陆 侈 达 陈 向 群 周 伯 生 
周 例 英 孟 小 峰 岳 丽 华 范 明 
施 伯 乐 钟 玉 琢 唐 世 渭 圳 棠 义 


宏 程 旭 ” ” 程 时 端 谢 希 仁 














译 者 简介 


吴 世 忠 : 博士 、 研 究 员 ， 中 国信 息 安 全 产品 测评 认证 中 心 主 
任 。 现 为 全 国信 息 安 全 标准 化 技术 委员 会 副 主任 ， 中 国信 息 产 业 
商会 信息 安全 产业 分 会 理事 长 《信息 安全 与 通信 保密 》 杂 志 主编 。 
已 公开 出 版 文章 百 余 篇 ， 著 有 《信息 系统 的 互 连 与 互通 》《C3I 
系统 的 安全 与 保密 》《 关 贸 总 协定 : 中 国 准 备 好 了 吗 ? 》《 首 都 
信息 化 标准 指南 信息 安全 与 保密 标准 化 体系 》 等 专著 五 部 和 《应 
用 密码 学 》《 网 络 信息 安全 的 真相 》《 密 码 学 的 理论 和 实践 》《 中 
文 Windows 2000 的 安全 性 》 等 译 著 五 部 ,同时 还 主持 起 草 了 防火 
墙 、 应 用 网 关 安全 技术 要 求 以 及 信息 技术 安全 性 评估 准则 等 7 项 
国家 标准 ， 并 主笔 撰写 了 与 信息 安全 战略 技术 发 展 有 关 的 多 篇 专 
题 报 告 。 


宋 晓 龙 : 男 ，1970 年 9 月 出 生 。2000 年 5 月 毕业 于 中 国人 民 
解放 军 信 息 工程 大 学 ， 获 理学 硕士 学 位 ; 主要 研究 兴趣 为 密码 算 
法 与 理论 、 密 码 分 析 和 密码 产品 测试 技术 ; 曾 在 《通信 学 报 》《 信 
息 安全 与 通信 保密 》 等 刊物 发 表 论 文 多 篇 ， 译 著 有 《密码 编码 和 
密码 分 析 : 原理 与 方法 》。 


郭涛 : 男 ，1974 年 9 月 出 生 ， 湖北 宜昌 入 。 毕 业 于 华中 科技 
大 学 计算 机 学 院 ，2003 年 10 月 将 获得 工学 博士 学 位 ， 主 要 研究 
方向 为 安全 电子 支付 、 信息 安全 、 密码 学 ; 曾 在 《通信 学 报 》、《 高 
技术 通讯 》 等 刊物 发 表 论 文 十 几 篇 。 


译 者 序 


自从 20 世纪 末 以 来 ， 信 息 安 全 成 为 了 人 们 密切 关注 的 热点 问题 ， 而 作为 信息 安全 理论 
基石 的 密码 学 更 是 成 为 学 术 界 炙手可热 的 研究 方向 。 市场 上 关于 密码 学 的 译 著 已 经 不 下 几 十 
本 ， 当 然 也 包括 我 们 翻译 的 《应 用 密码 学 》、《 密 码 编码 和 密码 分 析 》( 中 译本 由 机 械 工 业 出 
版 社 引进 出 版 ) 等 书 。 而 明尼苏达 州 大 学 数学 系 的 Paul Garrett 教授 所 著 的 这 本 书 以 其 深入 浅 
出 、 条 理 清晰 的 风格 而 在 诸多 密码 学 专著 中 独 具 特 色 ， 它 弥补 了 其 他 密码 学 专著 忽略 密码 学 
相关 数学 知识 的 不 足 ， 介 绍 了 与 密码 学 相关 的 几乎 所 有 数学 知识 。 通 过 阅读 本 书 ， 读 者 可 以 
对 密码 学 涉及 到 的 所 有 数学 知识 有 一 个 比较 全 面 的 了 解 ， 有 助 于 加 深 读 者 对 密码 学 的 理解 。 

本 书 并 没有 深入 阐述 密码 理论 和 具体 的 密码 算法 ， 而 是 就 密码 学 相关 的 数学 知识 做 详细 
介绍 。 如 果 跳 过 数学 知识 部 分 ， 本 书 可 以 作为 一 本 密码 学 导论 。 但 本 书 更 是 一 本 数论 教程 ， 
一 本 以 密码 学 为 主线 、 包 含 抽象 代数 的 广义 数论 教程 。 因 此 ， 本 书 不 仅 适 合 于 广大 数学 、 密 
码 学 专业 的 学 生 阅 读 ， 也 适合 于 密码 学 和 网 络 安全 专业 人 十 参考。 我 们 希望 所 有 读者 阅读 之 
后 都 能 有 所 收益 。 

本 书 的 翻译 工作 受到 国家 自然 科学 基金 重大 项 目 (90104033) 的 资助 。 

本 书 由 吴 世 忠 、 郭 涛 、 宋 晓 龙 主持 翻译 ， 其 他 参与 翻译 校对 工作 的 人 员 还 有 杨 亚 斌 、 付 
敏 、 彭 建 芬 等 ， 在 此 一 并 表示 感谢 。 

由 于 水 平 所 限 ， 翻 译 不 妥 或 错误 之 处 在 所 难免 ， 敬 请 广大 读者 批评 指正 。 
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前 言 


本 书 主要 介绍 现代 密码 学 的 加 密 思想 及 其 实现 方法 ， 涉 及 数论 、 概 率 论 、 抽 象 代 数 。 此 
外 ， 还 有 一 些 是 加 密 算 法 思想 的 描述 及 复杂 度 理论 。 我 们 在 讨论 安全 通信 及 其 理论 时 ， 有 三 
个 专业 术语 的 含义 有 些许 差异 ， 它 们 是 密码 编码 (cryptography )、 密 码 分 析 (cryptanalysis) 
和 密码 学 (cryptology)。 其 中 ， 密 码 编 码 指 的 是 用 各 种 不 同 的 加 密 算法 对 信息 进行 加 密 ， 以 
保证 其 安全 性 ， 密码 分 析 是 相对 于 密码 编码 而 言 的 ， 它 包含 有 密码 攻击 、 发 现 漏洞 和 系统 安 
全 性 证 明 的 内 容 。 密码 学 则 是 一 个 比较 综合 的 概念 , 它 涵盖 了 密码 编码 和 密码 分 析 两 个 概念 ， 
这 也 是 使 用 最 频繁 的 一 个 词 。 
在 介绍 了 密码 编码 、 密码 分 析 和 密码 学 的 概念 之 后 , 下面 我 们 介绍 一 下 本 书 的 主要 内 容 ; 
TD 介绍 密码 学 的 历史 沿革 ， 特 别 是 给 出 一 些 古 典 的 加 密 算法 ， 并 且 分 析 这 些 算法 为 什 
么 被 现代 的 加 密 算法 所 取代 。 
2) 密码 编码 领域 的 展望 〈 在 实际 应 用 领域 ， 加 密 并 不 仅仅 用 于 数据 的 安全 和 保密 )。 
3) 介绍 古典 和 现代 密码 体系 的 同时 ， 给 出 这 些 密码 体系 的 数学 理论 基础 。 
4) 给 出 一 些 针对 各 种 加 密 算法 的 密码 分 析 方 法 。 
5) 阅 明 密 钥 管理 和 执行 是 基础 。 
阅读 本 书 要 求 读 者 具备 跟 微 积分 相关 的 复杂 数学 和 一 些 基本 的 线性 代数 知识 。 
首先 我 们 将 有 选择 性 地 介绍 古典 密码 学 ， 这 主要 是 指 20 世纪 40 年 代 之 前 的 密码 编码 和 
密码 分 析 技 术 。 特 别 是 在 1935 年 到 1940 年 期 间 ， 一 些 通过 机 械 的 和 初级 的 电子 设备 自动 实 
现 加 密 和 解密 的 设备 大 量 出 现 ， 这 些 设 备 工作 速度 很 慢 ， 而 且 非 常 的 笨重 。 这 主要 是 由 于 加 
密 和 解密 的 过 程 基 本 上 是 用 机 械 和 电子 方法 实现 的 ， 并 不 是 通过 软件 实现 的 。 
按照 现代 的 标准 来 衡量 ， 那 些 古 典 密 码 〈 德 国 的 因 格 码 之 前 的 密码 ) 看 来 是 很 失败 的 。 
这 主要 归功 于 现代 的 计算 机 远 比 20 世纪 40 年 代 那 些 用 真空 电子 管 的 机 器 要 好 得 多 ， 而 且 现 
在 的 加 密 算 法 远 比 以 前 的 复杂 ， 主 要 是 为 了 防止 一 些 在 以 前 看 来 是 不 可 思议 的 攻击 。 
虽说 古典 的 密码 分 析 和 现代 的 密码 分 析 有 很 大 的 区 别 ， 但 它们 有 一 个 共同 的 地 方 ， 都 使 
用 了 数学 中 的 统计 算法 (stochastic algorithm) 或 者 概率 算法 (probabilistic algorithm )。 这 相 
对 于 初等 数学 中 非常 传统 而 且 较 常用 的 确定 性 算法 (deterministic algorithm ) 形成 了 鲜明 的 对 
比 。 对 于 许多 应 用 目的 而 言 ， 这 样 的 算法 运行 速度 非常 快 但 成 功率 却 达 不 到 100%， 或 者 说 
通常 运算 速度 较 快 ， 但 不 总 对 。 这 似乎 就 像 现 实生 活 ， 而 非 人 为 的 特意 忽略 。 
在 这 里 需要 说 明 的 一 点 就 是 ， 计 算 机 的 普及 对 密码 学 理论 产生 了 很 大 的 影响 ， 极 大 地 改 
变 了 密码 学 ， 例 如 : 
1) 加 、 解 密 的 工作 可 以 自动 完成 ， 大 规模 的 加 、 解 密 的 运算 变 得 很 容易 完成 ， 设 计 更 
为 精巧 的 系统 成 为 可 能 。 
2) 计算 机 网 络 中 数据 的 存储 、 传 输 和 数据 处 理 的 激增 ， 对 有 效 的 加 密 及 相关 技术 提出 
了 新 的 要 求 。 
3) 当然 ， 这 也 使 密码 分 析 攻 击 变 得 很 容易 。 所 以 ， 可 能 以 前 只 有 小 孩 或 者 间谍 才 感 兴 
趣 的 问题 ， 而 现在 却 有 很 多 人 感 兴 
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这 是 一 门 应 用 数学 的 学 科 ， 在 以 往 我 们 所 接触 的 数学 绝 大 部 分 都 是 由 应 用 来 推动 的 。 在 
这 里 ， 我 们 将 要 接触 的 有 : 数论 、 线 性 代数 、 抽 象 代数 、 概 率 论 、 复 杂 度 理论 和 其 他 一 些 数 
学 知识 。 当 然 ， 我 们 在 本 书 中 不 可 能 把 所 有 的 理论 一 一 细 述 ， 但 会 介绍 一 些 和 本 书 相 关 的 知 
识 。 

当然 ,在 本 书 中 我 们 也 没有 足够 的 篇 幅 把 有 关 密 码 学 的 历史 演变 和 现在 的 发 展 完 整地 讲 
述 一 遍 。 我 们 只 会 给 出 一 些 具有 代表 性 而 且 在 密码 学 发 展 历史 上 比较 重要 的 例子 ， 并 描述 一 
下 密码 学 发 展 的 其 他 分 支 。 

我 们 也 不 可 能 全 面 模拟 现实 生活 中 的 各 种 有 关 加 密 的 问题 并 进行 讨论 ， 密 码 分 析 尤 其 是 
更 不 可 能 。 因 为 我 没有 实际 接触 过 那些 机 器 ， 而 且 ， 在 现实 生活 中 ， 无 论 是 加 密 还 是 密码 分 
析 的 模拟 ， 都 可 能 需要 几 个 小 时 甚至 几 天 的 时 间 ， 此 外 还 需要 大 量 的 存储 空间 。 普 通 的 计算 
机 处 理 加 密 和 《授权 的 ) 解密 很 快 ， 而 现实 生活 中 对 密码 系统 的 攻击 可 能 需要 花费 数 天 甚至 
数 月 的 时 间 。 

因此 ， 我 们 会 首先 讨论 一 些 古典 的 加 密 系统 ， 以 及 这 些 加 密 系统 中 所 使 用 的 数学 知识 ， 
甚至 用 来 理解 或 者 破译 这 些 加 密 系统 的 数学 知识 ， 这 是 一 种 好 的 热身 方式 。 然 后 我 们 会 讨论 
一 种 现在 正在 使 用 的 对 称 加 密 系 统一 一 DES( 数 据 加 密 标准 ，Data Encryption Standard)。DES 
加 密 算法 比 那些 古典 的 加 密 算法 要 复杂 得 多 。 当 然 ， 也 正 是 由 于 它 的 成 功 ， 目 前 还 没 出 现 一 
种 好 的 攻击 方法 ,DES 早 在 20 世纪 70 年 代 中 期 就 已 经 成 为 美国 的 一 套 加 密 标准 (对 称 密码 )。 
而 且 ，DES 标准 除了 在 美国 以 外 的 其 他 国家 也 得 到 了 广泛 的 应 用 。 从 DES 标准 被 采用 至 今 ， 
经 过 20 多 年 来 的 密码 分 析 考 验 ， 还 没有 发 现 它 有 什么 致命 的 弱点 。 但 现在 计算 机 的 运算 速 
度 已 是 远 非 1976 年 那 时 候 的 计算 机 所 能 比拟 的 ， 通 过 穷 举 法 进行 攻击 已 经 成 为 可 能 。 事 实 
上 ， 在 1998 年 中 期 ， 美 国 的 EFF (Electronic Frontier Foundation ) 花费 了 100 000 美元 ， 用 
一 般 商 用 元 件 构造 了 一 个 DES 破解 器 ， 这 个 破解 器 可 以 在 两 天 内 获得 一 个 DES 密 钥 。 好 在 
还 可 用 DES 做 三 次 加 密 ， 即 所 谓 的 3-DES 加 密 算法 ， 这 种 算法 被 认为 是 一 种 比较 安全 的 算 
法 。 然 而 ， 美 国 国 家 标准 协会 (National Institute of Standard) 正在 征集 一 种 新 的 128 位 对 称 
加 密 算法 。 迄 今 为 止 ， 征 集 还 没有 结束 ， 最 终 被 采纳 的 加 密 算法 将 被 命名 为 高 级 加 密 标准 
(Advanced Encryption Standard, AES) O, 

本 书 中 还 将 讨论 另外 一 类 密码 算法 一 一 非 对 称 加 密 算 法 ， 又 称 公 钥 密码 算法 。 我 们 将 主 
要 讨论 两 种 公 钥 密码 算法 : 一 种 是 RSA 算法 ， 另 外 一 种 是 EIGamal 算法 及 其 应 用 。RSA 加 
密 算法 比较 简单 而 且 也 很 流行 ,但 EIGamal 算法 更 适用 于 椭圆 曲线 密码 。RSA 加 密 算法 的 安 
全 性 基于 数学 中 的 一 个 难题 ， 大 整数 因 式 分 解 。EIGamal 加 密 算 法 的 安全 性 则 是 基于 这 样 一 
个 难题 ， 有 限 域 中 的 离散 对 数 计算 《这 在 后 面 会 给 出 具体 的 含义 )。 这 两 种 密码 体制 中 的 任 
何 一 种 加 密 算法 都 需要 生成 大 量 且 很 大 的 素数 ， 其 实 这 本 身 就 是 一 个 有 趣 的 问题 。 在 介绍 完 
这 两 个 加 密 算法 后 ,我 们 将 进一步 介绍 NTRU 密码 ， 这 是 一 种 新 的 密码 ， 从 数学 理论 上 它 显 
得 更 为 成 熟 。 与 对 称 密码 体制 相 比 ， 非 对 称 密 码 体制 由 于 它 更 加 依赖 于 数学 理论 的 本 质 ， 似 
乎 看 上 去 更 容易 受到 攻击 。 在 这 部 分 我 们 将 介绍 一 些 重要 而 且 精 妙 的 数学 问题 。 

在 介绍 完 经 典 问题 以 后 ， 我 们 会 专门 给 出 一 些 数论 的 知识 ， 这 些 知识 和 现代 加 密 系 统 有 








提 2000 年 10 月 ， 美 国 国 家 标准 技术 局 选 定 由 比利时 人 Vincent Rijmen 和 Joan Daemen 设计 的 Rijndael 
加 密 算法 为 AES 的 惟一 候选 算法 。2001 年 已 确定 为 美国 联邦 信息 处 理 标准 FIPS190。 一 一 译 者 注 
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着 很 大 的 关系 ， 在 公 钥 加 密 体 制 〈 如 RSA 加 密 系 统 和 ElGamal 加 密 系统 ) 中 尤其 如 此 。 这 
部 分 将 包括 下 面 这 样 -- 些 内 容 : 

1) 公 钥 〈 非 对 称 ) 密码 

2) 伪 随 机 数 发 生 器 (PRNG ) 

3) 协议 

必要 的 数学 知识 将 包括 : 

1) 一 些 数论 和 抽象 代数 的 结论 

2) 素性 检验 、 因 式 分 解 及 相关 算法 

3) 复杂 度 理论 

我 们 不 会 过 多 地 讨论 复杂 度 理论 ， 在 书 中 我 们 只 简单 地 介绍 一 下 复杂 度 理论 的 有 关 指 
标 ， 并 且 判 断 一 些 问 题 的 复杂 程度 。 

在 这 里 ， 素 数 检验 和 整数 分 解 是 所 有 问题 的 根本 ， 许 多 实际 的 加 密 算 法 都 可 以 通过 这 些 
基本 问题 来 描述 。 尽 管 有 时 候 要 解释 一 个 完整 的 算法 ， 往 往 还 需要 很 多 其 他 的 知识 。 但 是 不 
用 解释 算法 的 实质 ， 我 们 也 有 可 能 通过 实验 对 算法 的 性 能 和 准确 性 有 一 个 直观 的 认识 。 

首要 的 基本 问题 就 是 整数 模 闫 的 结构 以 及 它 的 一 般 化 问题 ， 记 为 Zn。 我 们 需要 明白 ， 
对 于 nn 为 合 数 和 nn 为 素数 时 ， 得 到 的 这 个 Zn 存在 本 质 上 的 区 别 。 

在 好 多 高 效 的 算法 中 ， 还 有 一 个 很 重要 的 随机 化 问题 。 在 数学 中 ， 我 们 可 能 已 经 习惯 了 
每 个 问题 都 会 有 一 个 肯定 的 结果 ， 即 确定 性 。 随 机 化 可 能 看 上 去 不 是 那么 容易 理解 ， 但 在 许 
多 情况 下 ， 这 又 恰恰 是 很 多 加 密 算 法 的 重要 的 理论 基础 。 那 么 我 们 直接 面临 的 问题 就 是 去 考 
虑 概率 意义 上 的 素性 检验 ， 比 如 索 洛 维 -斯 特 拉 森 方法 和 米 勒 - 罗 宾 方 法 ， 并 证 明 它们 真正 可 
行 。 

本 书 中 所 包含 的 内 容 ， 可 能 已 经 超过 了 一 学 期 的 课程 ， 目 前 书 中 的 内 容 都 是 经 过 我 精心 
筛选 的 。 如 果 给 一 年 的 时 间 来 学 习 这 门 课 ， 可 能 就 会 比较 轻松 一 点 。 

本 教程 在 实际 教学 中 已 经 使 用 了 多 次 ， 并 且 都 是 基于 这 么 一 个 前 提 ， 学 生 对 数论 、 抽 象 
代数 、 概 率 甚至 密码 编码 都 没有 什么 了 解 。 密 码 应 用 总 是 离 不 开 数 学 问题 ， 本 书 则 使 得 注重 
实用 的 人 和 注重 理论 的 人 都 可 在 书 中 得 到 各 自 感 兴趣 的 信息 。 在 编写 此 书 的 过 程 中 ， 我 已 经 
尽量 使 各 章节 内 容 相 互 独立 ， 以 便 读者 可 以 跳 过 自己 不 喜欢 的 章节 ， 而 不 影响 对 其 他 章节 的 
理解 。 内 此 ， 在 某 些 章节 ， 可 能 会 重复 出 现 某 些 知识 。 从 教 与 学 的 观点 看 ， 适 当 的 内 容重 复 
是 一 件 好 事 。 

如 果 把 此 书 作 为 一 学 期 的 数论 教材 ， 可 以 跳 过 密码 编码 和 计算 部 分 ， 但 可 把 这 部 分 作为 
选读 资料 。 当 然 ， 在 本 书 中 ， 还 有 很 多 抽象 代数 的 知识 ， 这 些 知识 已 经 远 远 超 过 了 传统 的 数 
论 教程 。 在 我 为 本 科 生 讲授 数论 课程 的 时 候 ， 我 总 是 考虑 一 个 问题 ， 那 就 是 ， 在 讲授 数论 的 
时 候 是 将 抽象 代数 的 知识 作为 独立 的 预备 知识 ， 还 是 由 数论 的 知识 来 引出 抽象 代数 的 知识 。 
最 后 我 往往 会 选择 后 者 ， 就 是 在 讲述 数论 知识 的 同时 ， 我 一 般 会 附带 上 抽象 代数 ， 但 很 少 会 
有 一 本 教材 能 够 符合 这 个 要 求 。 本 书 的 一 部 分 内 容 是 我 为 本 科 生 所 写 的 讲义 ， 在 那个 讲义 中 
我 将 数论 和 抽象 代数 都 纳入 其 中 ， 并 将 数论 作为 引入 抽象 代数 的 一 个 具体 入 口 ， 而 反 过 来 数 
论 的 一 些 基 本 结论 又 来 源 于 抽象 代数 。 在 选择 把 此 书 作为 数论 的 教程 时 ， 应 该 跳 过 前 面 六 章 
的 内 容 《〈 前 六 章 主 要 讲 的 是 加 解密 的 问题 )。 此 外 ， 还 要 跳 过 “和 希 尔 密 码 ” 这 一 章 。 有 关公 
开 密 钥 加 密 系统 的 章节 也 可 以 跳 过 ， 但 这 却 是 数学 在 通信 中 的 主要 应 用 之 一 。 
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此 外 ， 可 以 将 此 书 作为 密码 学 知识 的 简短 介绍 性 教程 〈 格 过 有 关 数 学 的 知识 )。 为 了 使 
本 书 更 容易 理解 ， 书 中 在 涉及 到 数学 知识 的 时 候 ，- - 般 只 提 到 一 些 必 须 需 要 了 解 的 知识 ， 而 
且 都 是 一 些 基本 知识 。 我 在 编写 时 也 力图 使 这 些 数 学 知识 无 论 是 从 初级 的 观点 ， 还 是 高 级 的 
观点 都 是 容易 理解 的 。 一 般 来 说 ， 在 遇 到 需要 证 明 的 时 候 ， 我 们 往往 都 对 特殊 情况 给 出 初等 
证 明 ， 而 对 一 般 情况 给 出 较 高 层次 的 证 明 。 我 认为 在 教学 由， 这 是 一 种 比较 好 的 教学 方法 ， 
而 且 我 也 没有 在 这 方面 吝惜 时 间 和 篇 幅 。 另 外 。 一 些 比较 严格 的 密码 学 教材 都 有 一 个 通病 ， 
即 相 关 的 数学 知识 受到 了 冷遇 。 还 有 一 个 普遍 的 局 限 就 是 它们 总 是 假定 读者 已 经 具备 了 相当 
的 数学 功底 。 相 比较 而 言 ， 在 本 书 中 不 仅 为 希望 了 解数 学 在 密码 学 中 如 何 应 用 的 学 生 提供 了 
充足 的 数学 资源 ， 而 且 还 尽 可 能 降低 对 数学 知识 的 要 求 。 内 此 ， 本 书 完全 可 以 作为 一 本 密码 
学 导论 的 简明 教材 。 从 某 种 意义 上 说 ， 这 也 是 写作 本 书 的 初衷 。 

如 果 要 把 此 书 作为 计算 数论 的 教材 ， 我 建议 读者 应 该 把 注意 力 集中 在 算法 上 ,减少 对 密 
码 学 以 及 更 多 的 理论 数学 部 分 的 关注 。 在 我 教授 这 门 课 的 过 程 中 ， 我 没有 假定 学 生 能 够 或 者 
愿意 做 任何 的 计算 机 的 工作 ， 毕 竟 这 需要 CPU 的 时 间 。 在 本 书 中 , 我 详细 地 给 出 了 算法 的 描 
述 ， 目 的 就 是 使 其 清晰 易 懂 ， 但 并 没有 给 出 具体 的 算法 的 伪 代 码 或 者 算法 的 某 种 语言 实现 。 
我 之 所 以 这 么 做 ， 很 重要 的 一 个 原因 就 是 ， 我 希望 学 生 至 少 明白 算法 是 如 何 工作 的 ， 而 不 是 
简单 地 去 执行 它 。 我 没有 用 专用 语言 写 出 算法 的 田 一 个 原因 ， 是 因为 我 无 意 认可 某 种 语言 
其 所 需要 的 全 部 东西 。 尽 管 我 坚决 支持 学 生 去 学 习 如 何 编写 程序 ， 但 不 鼓励 他 们 去 研究 软件 
包 。 但 是 ， 界 面 友好 的 软件 包 的 确 很 容易 上 手 。 

在 授课 的 过 程 中 ， 着 有 些 学 生 已 经 学 习 过 概率 论 或 者 数论 的 知识 ， 就 可 以 跳 过 其 中 一 些 
相关 的 章节 。 在 本 书 的 编写 工作 中 ， 我 将 大 量 的 数学 知识 放 到 了 各 章 各 节 中 去 讲解 ， 而 不 像 
有 的 教程 将 所 有 的 知识 放 到 最 后 的 附录 中 。 我 是 基于 这 人 么 一 种 考虑 ， 那 就 是 ， 已 经 学 过 这 些 
知识 的 学 生 可 以 跳 过 相关 章节 不 看 ， 而 不 了 解 这 些 知 识 的 学 生 可 以 直接 按 着 顺序 阅读 ， 无 需 
为 了 看 一 些 相关 知识 而 前 后 翻 个 不 停 。 这 样 组 织 也 是 为 了 各 章 保持 独立 性 。 

最 后 , 我 要 感谢 我 的 朋友 们 ,他 们 给 我 的 初稿 提出 了 好 多 宝贵 的 意见 , 在 此 我 特别 感谢 : 
美国 艾 奥 瓦 州立 大 学 的 Irvin Roy Hentzel 教授 、 艾 奥 瓦 大 学 的 Yangbo Ye、 圣 母 玛 利 亚 大 学 的 
Joachim Rosenthal、 密 苏 里 大 学 的 Daniel Lieman 、 密 歌 根 州立 大 学 的 Jonathan Hall 等 人 。 在 
我 写 书 的 这 么 多 年 中 ， 我 的 学 生 们 一 直 都 在 使 用 这 些 初 稿 ， 我 要 感谢 这 些 学 生 ， 他 们 给 我 提 
出 了 很 多 好 的 建议 ， 而 且 也 指出 了 初稿 中 的 若干 问题 ， 使 本 书 的 质量 有 了 较 大 的 提升 。 





Paul Garrett 

于 明 尼 阿 波 利 斯 ， 明 尼 苏 达 大 学 
garrett@math.umn.edu 
paul.garrett@acm.org 
http://www.math.umn.edu/ garrett/ 
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密码 技术 的 应 用 ， 以前， 密码 技术 的 最 直接 的 目的 其 实 就 是 保密 。 通 常 ， 保 密 的 意思 就 
是 用 加 密 算法 将 有 用 的 消息 加 密 ， 使 得 即便 敌人 窃听 、 截 获 那 些 加 密 后 的 消息 ， 也 很 难 知道 
原先 的 内 容 是 什么 。 而 对 于 那些 既定 的 或 授权 的 用 户 ， 获 得 加 密 消 息 后 ， 可 以 很 容易 地 解密 
出 原始 消息 。 

目前 密码 学 的 一 个 新 应 用 是 消息 认证 ， 而 不 论 这 个 消息 是 否 需 要 保密 。 认 证 的 意思 是 ， 
消息 的 接收 者 需要 通过 一 种 方法 来 确认 这 是 合法 的 发 送 者 发 来 的 信息 ， 或 者 合法 的 发 送 者 发 
来 的 消息 是 不 是 已 经 被 修改 了 。 验 证 消息 在 中 途 是 不 是 已 经 被 修改 了 非常 重要 ， 这 一 问题 也 
称 作 数 据 的 完整 性 。 在 传输 信息 的 过 程 中 ， 如 果 只 考虑 环境 中 有 噪声 影响 ， 而 不 考虑 有 人 在 
窃听 ， 则 一 个 相对 简单 的 校 验 和 就 足够 了 。 但 如 果 同 时 考虑 到 有 人 破坏 ， 则 要 实现 此 功能 就 
会 比较 复杂 ， 因 为 设备 还 要 检测 是 否 存 在 欺骗 。 

此 外 ， 目 前 还 有 一 种 比较 流行 的 应 用 ， 那 就 是 签名 ， 以 前 的 签名 都 是 用 钢笔 来 签 ， 这 一 
般 称 作 物理 签名 ， 而 在 网 络 通 信 中 ， 这 种 非 物 理 的 签名 叫做 数字 签名 。 

密码 技术 另 一 个 不 太 明 显 的 应 用 就 是 非 否 认 问 题 ， 尽 管 这 是 签名 的 一 个 方面 :必须 让 数 
字 签 名 的 签署 者 事后 否认 对 此 签 过 名 成 为 不 可 能 。 这 就 引起 了 一 个 识别 欺骗 的 问题 ， 我 们 能 
否 使 欺骗 变 得 不 可 能 ， 或 者 使 欺骗 可 以 被 检测 到 ? 后 者 可 能 更 容易 实现 ， 尽 管 在 一 些 场合 这 
是 不 可 接受 的 。 

不 经 意 传 输 : 不 经 意 传 输 指 的 是 如 果 Alice 传输 一 个 秘密 给 Bob， 此 后 ，Alice 就 不 知道 
Bob 是 否 接收 到 了 这 个 秘密 〈 但 Bob 知道 他 是 不 是 收 到 了 )。 或 者 还 有 一 种 可 能 就 是 ，Alice 
卖 给 Bob 儿 个 秘密 中 的 一 个 ， 使 得 Alice 不 知道 Bob 到 底 买 的 是 哪 一 个 秘密 。 

例如 在 政治 条 件 下 ，Bob 承认 忽略 了 某 些 秘密 是 件 滥 塘 的 事情 。 在 这 种 环境 下 ， 信 任 裁 
判 的 简单 方案 是 不 可 行 的 。 

零 知 识 证 明 : 零 知识 证 明 指 的 是 这 么 一 种 协议 标准 ，Alice 可 以 证 明 给 Bob 看 ， 她 知道 
一 个 秘密 ， 并 且 不 会 泄漏 这 个 秘密 。 一 般 来 说 ， 当 Alice 证 明 她 知道 秘密 时 ， 最 小 泄露 证 明 
将 使 Alice 告知 的 信息 极 小 化 。 欺 骗 应 当 是 困难 的 如果 Alice 根本 就 不 知道 秘密 ,那么 她 能 
够 使 Bob 错误 地 相信 她 的 概率 应 当 可 以 忽略 ， 并 且 Bob 不 能 从 Alice 的 证 明 中 获得 更 多 的 信 
息 。 特 别 地 ，Bob 应 当 不 能 够 《失败 ) 向 任何 人 证 明 他 知道 秘密 。( 最 小 泄露 证 明 是 可 能 的 ， 
数学 或 其 他 技术 课程 的 学 生 可 以 联想 到 ， 他 们 十 分 确信 讲课 者 确实 知道 如 何 证 明 一 个 定理 ， 
即便 授课 者 没有 给 出 更 多 的 信息 。) 

术语 : 密码 体制 或 密码 指 的 是 一 个 完整 的 过 程 ， 通 过 这 个 过 程 的 处 理 ， 可 以 使 得 一 些 明 
文 信息 ， 对 于 授权 用 户 来 说 ， 很 容易 理解 ， 而 对 于 未 授权 的 用 户 ， 就 显得 很 难 理解 。 由 发 送 
者 执行 的 加 密 处 理 ， 指 的 是 发 送 者 将 一 些 明文 信息 通过 加 密 算法 ， 加 密 成 一 些 对 于 未 授权 用 
户 不 可 理解 的 信息 。 由 合法 的 既定 接收 者 执行 的 解密 处 理 ， 指 的 是 通过 解密 算法 和 密 钥 ， 把 
难 解 的 信息 〈 密 文 ) 恢复 成 原始 信息 〈 了 明文 )。 注 : 对 于 没有 授权 的 用 户 ， 想 通过 密 文 而 获 
得 明文 会 非常 的 困难 。 在 对 称 加 密 系 统 中 ， 应 该 只 有 发 送 者 和 接收 者 共享 一 个 秘密 ， 称 为 密 
钥 。 不 让 窃听 者 知道 密 铀 ， 一 般 来 说 可 以 很 有 效 地 阻止 他 们 破解 密 文 。 
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你 现在 或 许 会 认为 使 所 有 的 加 密 和 解密 处 理 都 保密 ， 就 可 以 很 好 地 保证 加 密 系 统 的 安全 
性 。 然而， 事实 并 非 如 此 ， 你 是 不 是 会 觉得 不 可 思议 ? 但 事实 就 是 如 此 ， 从 现在 加 密 安 全 的 
观点 来 看 ， 加 密 和 解密 算法 都 可 以 公开 ， 只 要 保证 加 密 密 铀 保密 。 这 个 观点 有 了 时 被 称 为 
Kerckhoff 原则 ， 对 这 个 原则 有 几 个 不 同 的 看 法 。 其 中 最 引 人 注 目的 一 个 看 法 很 简单 ， 就 是 不 
必 担 心 别人 知道 加 密 过 程 ， 而 且 设 计 出 符合 这 个 要 求 的 密码 体制 是 可 能 的 ， 那 么 不 满足 这 一 
要 求 的 任何 体制 都 将 是 不 能 接受 的 。 
一 种 与 Kerckhoff 原则 一 致 的 看 法 认为 ， 算 法 的 标准 化 使 得 实现 大 规模 的 通信 变 得 更 加 
容易 。 我 们 可 以 这 么 认为 ， 这 个 加 密 系 统 的 工作 过 程 对 大 家 来 说 是 公开 的 。 这 并 不 意味 着 就 
没有 什么 需要 保密 的 ， 唯 一 的 秘密 就 是 密 钥 。 因 为 ， 密 钥 分 配 和 密 钥 管理 就 成 为 了 一 个 很 重 
要 的 问题 。 
尽管 在 通俗 英语 中 ,“code”( 人 代码， 编码 》 和 “cipher”( 密 码 ) 是 同义词 ， 但 我 们 对 它 
们 的 使 用 却 是 不 同 的 。 代 码 是 利用 某 个 字典 ， 将 英语 中 的 词 或 短语 变换 为 另 一 种 词 或 短语 ， 
从 而 隐藏 消息 内 容 的 一 种 方法 。 这 种 变换 通常 在 某 种 程度 上 依赖 于 消息 的 语法 和 含义 : 比如 
名 词 和 动词 被 识别 并 被 转换 为 名 词 和 动词 。 相 比 而 言 ， 密 码 则 把 消息 当 作 字符 流 ，( 一 个 字 
符 可 能 是 一 个 字母 、 数 字 、 空 格 或 者 标点 符号 ) 不 去 参照 其 任何 可 能 的 含义 。 还 有 一 个 类 似 
的 词 ,“encode”( 编 码 )， 它 指 的 是 非 隐藏 目的 的 变换 ， 但 却 是 为 了 后 来 的 处 理 更 加 方便 。 比 
如 ， 在 对 英文 加 密 处 理 之 前 ， 先 要 将 26 个 字母 a~z 编码 为 数字 0~25。 
古典 密码 学 : 这 指 的 是 在 电子 计算 机 出 现 以 前 已 经 得 到 应 用 或 者 已 经 发 明 的 密码 学 理 
论 。 在 二 次 大 战 中 ， 有 很 多 恩 格 码 和 其 他 机 器 用 于 实现 这 些 加 密 算法 。 其 实在 那 时 候 ， 那 些 
加 密 系 统 及 其 加 密 算法 已 经 有 了 很 大 的 改变 ， 它 们 的 性 能 已 经 得 到 了 很 大 的 提高 。 所 以 ， 这 
里 说 的 “古典 ”的 意思 ， 在 很 大 程度 上 指 的 是 那些 相对 于 现代 系统 来 说 不 是 很 好 的 系统 〈 用 
现在 的 标准 衡量 )。 
对 称 加 密 系 统 ， 这 指 的 是 在 加 密 系统 中 ， 加 密 密 钥 中 含有 解密 密 钥 的 信息 ， 或 者 更 极端 
的 是 在 系统 中 ， 加 密 密 钥 和 解密 密 钥 完全 一 样 。 这 样 ， 信 息 的 发 送 者 和 接收 者 共享 同一 个 密 
钥 ， 所 有 的 古典 加 密 系 统 都 是 这 种 对 称 加 密 系 统 。 事实 上 ，1975 年 以 前 , 一 直 都 只 有 这 种 加 
密 的 方法 。 但 在 1975~1978 年 的 时 候 ，Merkle 和 Hellman 提出 了 一 种 新 的 加 密 系统 ， 非 对 称 
密码 ， 在 这 种 加 密 系 统 中 ， 加 密 密 钥 含有 很 少 的 解密 密 钥 的 信息 ， 反 之 亦 然 。 虽 然 这 种 加 密 
系统 看 上 去 不 太 可 靠 ， 但 实际 上 它 是 在 许多 数学 难题 的 理论 基础 上 建立 起 来 的 ， 所 以 它 的 安 
全 性 可 以 由 数学 知识 加 以 证 明 。 而 对 称 密码 则 不 像 非 对 称 密码 那样 神秘 (最 近 已 经 知道 ， 在 
Merkle 和 Hellman 提出 非 对 称 密码 思想 的 10 年 前 ， 英 国 秘密 机 构 的 研究 人 员 已 经 提出 了 公 
钥 密 码 的 思想 )。 
对 密码 系统 的 攻击 : 指 的 是 在 不 知道 密 钥 的 情况 下 ， 对 一 个 加 密 系 统 进行 攻击 ， 以 获取 
明文 信息 。 一 般 有 四 种 基本 攻击 类 型 : 
1) 唯 密 文 的 攻击 : 在 这 种 情况 下 ， 密 码 分 析 者 得 到 了 密 文 片断 ， 但 是 不 知道 任何 明文 ， 
也 不 知道 密 钥 。 这 种 攻击 一 般 又 分 为 两 种 情况 : 一 是 只 解密 某 个 特殊 的 消息 ， 男 一 
种 情况 是 ， 获 得 了 密 钥 ， 然 后 进一步 破解 所 有 后 面 的 加 密 消息 。 

2) 已 知 明文 攻击 : 在 这 种 情况 下 ， 密 码 分 析 者 得 到 了 全 部 或 部 分 明文 ， 以 及 这 些 明文 
所 对 应 的 密 文 ， 目 的 是 通过 这 些 信息 来 判断 密 钥 。 大 多 数 的 古典 加 密 系统 最 容易 被 
这 种 攻击 方法 攻破 。 
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3) 选择 明文 攻击 : 在 这 种 情况 下 ， 密 码 分 析 者 可 以 选择 一 定数 量 的 明文 ， 并 分 析 对 应 
的 加 密 ， 攻 击 目的 是 获得 密 钥 。 大 多 数 的 古典 加 密 系 统 也 很 容易 被 这 种 攻击 方法 攻 
破 。 

4) 对 加 密 密 钥 的 攻击 : 这 是 对 那些 由 加 密 密 钥 的 信息 容易 得 到 解密 密 钥 信息 的 非 对 称 

加 密 系统 而 言 的 。 目 的 是 可 以 预先 处 理 ， 在 截获 任何 密 文 前 得 到 解密 密 钥 。 

对 攻击 方法 的 分 类 并 不 能 像 其 字面 意思 那样 明确 。 通常， 攻击 者 不 知道 整个 明文 ， 但 由 
于 特定 环境 的 原因 ， 攻 击 者 可 以 肯定 某 些 特定 的 词 会 在 明文 中 出 现 。 一 个 被 认为 会 在 明文 的 
某 个 地 方 出 现 的 词 称 为 一 个 明 密 对 照 (crib )。 直 到 第 二 次 世界 大 战 ， 对 这 种 明 密 对 照 的 熟练 
使 用 仍 在 密码 分 析 中 发 挥 了 重要 作用 ， 但 从 那 以 后 情况 就 有 所 不 同 了 。 

前 面 三 种 攻击 方法 是 对 应 于 对 称 加 密 系 统 的 。 在 这 三 种 攻击 方法 中 ， 显 然 对 密码 分 析 者 
而 言 , 唯 密 文 的 攻击 是 最 难 的 一 种 攻击 方法 ,而 选择 明文 攻击 则 是 最 容易 的 一 种 方法 。 当 然 ， 
任何 一 种 加 密 系统 都 必须 能 够 对 抗 唯 密 文 攻击 , 因为 对 消息 的 窃听 截取 是 司空 见 惯 的 事情 。 
通常 ， 要 想 实 施 已 知 明文 攻击 或 者 选择 明文 攻击 是 很 困难 的 ， 尽 管 仍 有 不 少 对 这 种 情况 老生 
常 谈 的 描述 。 不 论 这 种 攻击 的 可 信 度 如 何 ， 确 实 有 能 够 对 抗 选 择 明文 攻击 的 密码 系统 。 结 果 
是 能 和 否 对 抗 选择 明文 攻击 成 为 衡量 一 个 加 密 系统 的 标准 。 因 此 ， 一 些 古 典 密码 系统 是 由 于 不 
能 对 抗 唯 密 文 攻击 而 被 废弃 的 ， 而 事实 上 由 现在 的 标准 来 衡量 ， 因 为 它们 不 能 对 抗 选择 明文 
攻击 布 应 当 被 坚决 拒绝 。 我 们 还 要 考虑 对 古典 密码 可 能 实施 的 更 加 困难 的 唯 密 文 攻击 ， 这 既 
是 我 们 本 来 的 目的 ， 也 是 要 表明 一 些 有 趣 的 问题 。 当 然 我 们 还 会 指出 它们 对 已 知 明文 攻击 和 
选择 明文 攻击 的 脆弱 性 。 读 者 应 当 理 解 ， 目 前 的 标准 就 是 : 一 个 密码 系统 应 当 能 够 对 抗 选择 
明文 攻击 。 

有 一 个 词 试探 性 〈heuristic ) 我 们 会 经 常用 到 。 对 一 个 问题 的 试探 性 方法 决 不 保证 其 是 
否 工作 或 者 是 否 正 确 , 但 却 对 解决 问题 的 步骤 或 者 什么 是 正确 的 提出 了 建议 。 在 最 佳 情 况 下 ， 
这 种 方法 可 以 得 到 验证 。 

术语 算法 是 一 个 能 够 完全 自动 化 〈 比 如 在 计算 机 上 编程 ) 的 计算 或 决策 程序 。 一 个 概率 
算法 则 是 一 个 不 能 总 是 正常 工作 或 者 不 可 能 得 出 一 个 保证 正确 结果 的 算法 。 

我 们 还 要 指出 ， 对 于 信息 的 度量 ， 采 用 比特 和 字 节 等 度量 单位 。 一 个 比特 是 一 个 最 小 的 
度量 单位 ，0 或 1 〈 真 或 假 、 开 或 关 )。 有 些 文章 中 认为 比特 是 “二 进 制 位 ”的 缩写 ， 可 能 这 也 
是 正确 的 。 一 个 字 节 指 的 是 8 个 比特 的 串 ， 但 其 中 一 位 通常 用 作 校 验 位 〈 用 于 校 验 任何 比特 
是 否 有 错误 )， 因 此 ， 一 个 字 节 传输 的 信息 种 类 是 2” 种 而 不 是 2* 种 。 此 外 1KB (kilobyte) 
表示 1000 字 节 ，1MB(megabyte) 表 示 1 000 000 字 节 ，1GB(gigabyte) 表 示 1 000 000 000 字 节 
的 意思 ，1TB(terabyte) 表 示 1 000 000 000 000 字 节 等 等 。 

在 使 用 拉丁 字母 (A 到 Z 不 包括 发 音符 号 ) 的 国家 ， 通 常 一 个 字符 被 编码 为 0~255 之 间 
的 一 个 整数 ， 即 一 个 字 节 。 这 当中 有 许多 是 不 可 打印 的 字符 或 控制 字符 。 当 然 还 有 其 他 字符 
体系 ， 比 如 美国 的 ASCII 体系 是 比较 常用 的 ;字符 0-9 的 编码 为 48~57， 大 写字 母 A~Z 的 
编码 为 65~90， 而 小 写字 母 a~z 的 编码 为 97~122， 其 他 整数 编码 表示 标点 符号 和 控制 字符 。 

Unicode 是 一 种 针对 较 大 字母 表 (象形 文字 系统 ， 如 汉字 ) 的 新 型 编码 方法 ， 通 过 使 用 
两 个 字 节 来 表示 一 个 字符 ， 这 就 可 以 提供 214=65 536 种 字符 编码 ， 比 单字 节 的 256 种 字符 编 
码 有 了 很 大 的 进步 。 
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第 | 章 简 单 密 但 


本 章 介绍 三 种 相关 的 简单 密码 : 移 位 密码 、 一 次 一 密 密 码 本 以 及 仿 射 密码 。 移 位 密码 和 
仿 射 密码 的 性 能 并 不 好 ， 而 “如 果 ” 使 用 恰当 的 话 ， 一 次 一 密 密 码 本 是 相当 安全 的 。 但 是 这 
里 的 “如 果 ” 也 得 画 一 个 大 大 的 问号 。 

我 们 将 从 这 三 种 密码 着 手 , 给 出 密码 描述 的 一 般 模式 ,随后 将 分 别 讨论 它们 各 自 的 续 陷 。 
同时 也 会 对 相关 的 数学 思想 作 介绍 。 

讨论 弱 密码 的 目的 之 一 是 让 我 们 了 解 它 的 弱点 ， 以 便 在 未 来 工作 中 避 开 其 弱点 ， 同 时 在 
需要 的 情况 下 知道 如 何 加 以 使 用 。 很 显然 ， 如 果 我 们 只 看 到 那些 不 可 攻击 的 密码 ， 对 于 密码 
如 何 失效 就 不 得 而 知 了 ， 更 别提 攻击 者 的 一 次 成 功 攻 击 了 。 因 此 尽管 移 位 密码 看 起 来 很 “ 轧 
春 ”>， 还 是 值得 我 们 去 研究 一 下 它 的 细节 ， 以 便 给 我 们 提供 一 些 经 验 教训 。 


1.1 移 位 密码 


移 位 密码 是 最 简单 的 一 种 密码 。 这 至 少 要 追溯 到 Julius Caesar ( 恺 撒 ， 古 罗马 统帅 ， 公 
元 前 100 年 一 公元 前 44 年 。 一 一 编者 注 )， 因 为 这 种 算法 有 时 也 被 称 为 Caesar 密码 。 在 这 之 
前 还 有 更 早 〔 而 且 更 好 〉 的 密码 《如 Polybios 密码 )。 尽 管 这 确实 是 一 种 差劲 的 加 密 系 统 ， 
然而 去 研究 一 下 它 如 何 差劲 也 是 很 有 意义 的 。 

首先 我 们 描述 Caesar 密码 显而易见 的 一 种 特殊 情形 ， 然 后 描述 一 般 的 加 密 方案 。 我 们 约 
定 在 以 后 的 讨论 中 ， 明 文 〈plaintext) 将 用 小 写字 母 书写 ， 而 密 文 〈ciphertext) 则 用 大 写字 
母 书写 。 同 时 使 用 26 个 英文 字母 通常 的 顺序 。 所 有 消息 均 用 英文 表示 。 

在 使 用 Caesar 密码 的 情况 ， 为 了 给 消息 加 密 ， 消 息 中 每 个 字母 均 被 前 移 三 位 ， 例 如 “a” 
将 变 成 “D”，“b” 将 变 成 “E” “ec” 将 变 成 “F” 等 。 在 字母 表 的 最 后 ， 移 位 将 重新 折 回 ， 
形成 一 个 循环 ,，“x” 将 变 成 “A”，“y” 将 变 成 “B”，“z” 将 变 成 “C”。 

要 解密 Caesar 密码 系统 ， 所 有 字母 将 被 后 移 三 位 ，“A” 将 变 成 “x”,“B” 将 变 成 “y”, 
“C” 将 变 成 “z”，“D” 将 变 成 “a”，“E” 将 变 成 “b”， 等 等 。 

按照 上 述 Caesar 密码 的 加 密 规 则 ， 如 下 消息 
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将 变 成 
DOO RI JDXO LV GLYLGHG LQWR WKUHH SDUWV 

这 样 ， 即 使 消息 被 中 途 截 取 ， 面 对 大 多 数 既 不 会 读 也 不 会 写 这 句 话 的 人 而 言 ， 这 种 方式 
也 还 是 能 起 保密 作用 的 。 然 而 ， 当 面 对 一 个 熟知 该 加 密 系 统 的 攻击 者 时 ， 破 译 截 取消 息 的 叭 
一 障碍 就 只 剩 下 推算 实际 移 位 值 所 花费 的 时 间 。 由 于 字母 移 位 解密 是 由 接收 方 完成 ， 万 一 加 
密 方 法 泄密 ， 对 攻击 者 来 说 解密 就 变 得 跟 接 收 方 解 密 一 样 容易 。 这 是 我 们 不 希望 看 到 的 。 

我 们 可 以 通过 加 进 一 个 附加 秘密 来 改进 上 述 方法 ， 使 得 攻击 者 必须 付出 比 接收 方 大 得 多 
的 工作 量 才能 解密 ， 也 即 是 消息 的 发 送 方 和 接收 方 事先 协商 好 一 个 密 钥 。 该 密 钥 代表 在 当前 
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环境 下 字 坪 移 位 的 位 数 “ 从 1 到 25)， 而 不 像 前 面 Caesar 加 密 那 样 所 有 和 情况 下 都 向 前 和 向 后 
移动 3 位 。 该 密 钥 是 发 送 方 和 接收 方 事先 达成 一 致 的 关于 那 条 消息 的 共同 秘密 。 这 种 加 密 系 
统 被 称 为 移 位 密码 。 

因此 ， 一 个 幼稚 的 攻击 者 在 鹤 取 一 条 被 移 位 加 密 的 消息 时 ， 就 会 因 缺 少 信息 而 不 知道 如 
何 下 手 。 相 反 ， 消 息 搂 收 方 则 可 以 很 快 通过 移 位 恢复 出 消息 明文 。 

而 一 个 不 轻易 放弃 的 攻击 者 可 能 会 尝试 各 种 可 能 的 移 位 ， 并 等 着 看 哪 一 条 最 可 能 是 原 
文 。 这 就 是 一 种 穷 举 攻击 法 。 例 如 ， 假 设 攻击 者 截获 到 如 下 消息 : 

RCC FW XRLC ZJ UZMZUVU ZEKF KYIVV GRIKJ 
他 将 连续 尝试 将 消息 中 字母 分 别 后 移 1 位 、2 位 、3 位 等 等 ， 直 到 消息 原文 出 现 : 





《后 移 01 位 ): 
(后 移 02 位 ): 
(后 移 03 位 ):; 
《后 移 04 位 ): 
(后 移 05 位 ): 
(后 移 06 位 ): 
《后 移 07 位 ): 
《后 移 08 位 ): 
(后 移 09 位 ): 
(后 移 10 位 ): 
(后 移 11 位 ): 
(后 移 12 位 ); 
(后 移 13 位 ): 
(后 移 14 位 ): 
(后 移 15 位 ); 
(后 移 16 位 ): 
(后 移 17 位 ): 
(后 移 18 位 ): 
(后 移 19 位 ): 
(后 移 20 位 ); 
(后 移 21 位 ): 
(后 移 22 位 ): 
(后 移 23 位 ): 
(后 移 24 位 ): 
(后 移 25 位 ): 


qbb ev wqkb yi tylytut ydje jxhuu fqhji 
paa du vpja xh sxkxsts xcid jiwgtt epgih 
OZZ ct uoiz Wg rwjwrsr wbhc hvfss dofhg 
nyy bs tnhy vf qvivqrq vagb guerr cnegf 
mxx ar smgx ue puhupqp uzfa ftdqq bmdfe 
lww zq rlfw td otgtopo tyez escpp alced 
kvv yp qkev sc nsfsnon sxdy drboo zkbdec 
juu xo pjdu rb mrermnm rwcx cqann yjacb 
itt wn oict qa lqdqlml qvbw bpzmm xizba 
hss vm nhbs pz kpcpklk puav aoyll whyaz 
grr ul mgar Oy jobojkj otzu znxkk vgxzy 
fqq tk lfzq nx inaniji nsyt ymwjj vfwyx 
epp sj keyp mw hmzmhih mrxs xlvii tevxw 
doo ri jdxo lv glylghg lqwr wkuhh sduwv 
cnn qh icwn ku fkxkfgfkqvq vjtgg rctvu 
bmm pg hbvm jt ejwjefe joup uisff qbsut 
all of gaul is divided into three parts 

Zkk ne fztk hr chuhcdc hmsn sgqdd ozqsr 
yj md eysj gq bgtgbcb glrm rfpcc nyprq 
xii lc dxri fp afsfaba kgl geobb mxogp 
whh kb cwqh eo zerezaz ejpk pdnaa lwnpo 
vgg ja bvpg dn ydqdyzy dioj ocmzz kvmon 
uff iz auof cm xcpcxyx chni nblyy julnm 
tee hy ztne bl wbobwxw bgmh makxx itkml 
sdd gx ysmd ak vanavwy aflg lzjww hsjkk 


所 有 可 能 的 移 位 如 上 所 示 ， 通 常 只 有 一 条 消息 有 意义 。 我 们 注意 到 ， 攻 击 者 花费 了 20 
多 倍 的 工作 去 解密 ， 而 接收 者 事先 就 知道 需要 移 位 的 位 数 为 17。 如 果 消息 很 长 ， 攻 击 者 将 需 
要 花费 比 20 倍 更 多 的 工作 量 ， 这 将 是 不 能 允许 的 。 

稍微 聪明 一 点 的 攻击 者 会 意识 到 ， 如 果 连 几 个 初始 的 短语 都 不 能 看 懂 的 话 ， 把 所 有 的 消 
息 移 位 将 是 很 思春 的 。 也 就 是 说 ， 我 们 不 需要 将 整 条 消息 均 作 移 位 解密 才能 看 出 它 是 否 有 意 
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义 。 实 际 上 ， 看 看 在 上 述 的 25 种 解密 文中 只 看 前 3 个 字母 ， 只 有 很 少儿 个 能 构成 英文 单词 
或 是 单词 的 一 部 分 。 即 使 前 3 个 字母 看 起 来 可 能 是 某 个 单词 的 -部 分 ， 继 续 尝 试 着 对 紧 接着 
的 2 个 字母 解密 后 就 会 发 现 只 有 一 个 是 可 能 的 候选 明文 ， 这 也 就 是 真正 的 明文 。 

为 了 加 快 穷 举 攻击 的 速度 ， 攻 击 者 最 多 只 须 利 用 猜想 的 密 钥 对 5 个 字符 进行 解密 ， 就 可 
以 判断 该 密 钥 是 否 正确 。 因 为 只 有 25 种 可 能 ， 故 只 需 做 很 少 的 工作 就 可 以 找到 移 位 密码 的 
密 钥 。 

也 就 是 说 ， 移 位 密码 很 容易 被 唯 密 文 攻击 方法 攻击 ; 任何 由 3 个 字母 以 上 英文 组 成 的 消 
息 只 需要 对 前 面 几 个 字母 进行 25 次 不 同 移 位 的 尝试 就 可 以 破译 。 因 此 如 果 每 次 考察 5 个 字 
母 ， 在 找到 真正 的 密 钥 前 就 会 有 24x5 次 尝试 被 浪费 。 如 果 有 一 份 每 行 80 个 字符 共 10 行 的 
消息 ， 攻 击 者 只 须 花费 比 接收 方 多 1$% 的 工作 量 就 可 以 破译 密码 ， 这 是 挺 糟糕 的 事情 。 

更 糟 的 出 现在 已 知 明文 攻击 : 如 果 攻 击 者 知道 一 个 字符 以 及 它 的 密 文 ， 那 么 他 很 快 就 可 
以 通过 加 密 字符 与 解密 后 的 明文 之 间 的 间距 推出 密 钥 是 多 少 (1~25 之 间 的 一 个 整数 )。( 选 择 
明文 攻击 在 这 种 情况 下 并 不 会 更 简单 ， 但 如 何 得 到 更 简单 的 攻击 方法 昵 ? ) 

尽管 移 位 加 密 在 恶意 攻击 者 面前 很 难保 察 ， 但 还 是 有 一 些 用 处 的 。 这 种 加 密 虽 然 脆 弱 ， 
但 对 明文 进行 了 不 透明 的 封装 ， 从 这 种 意义 上 讲 ， 它 防止 了 消息 明文 被 人 意外 的 获取 。 也 就 
是 说 ， 尽 管 它 在 主动 攻击 者 面前 基本 上 不 能 保密 ， 但 在 合作 代理 (cooperating agent) 面 前 还 是 
完全 有 效 的 。 总 之 ， 从 商业 观点 来 看 移 位 密码 很 容易 被 攻破 ， 但 很 少 有 人 不 费力 就 能 自然 地 
解读 出 加 密 的 消息 。 因 此 ， 谜 语 的 答案 可 以 通过 移 位 加 密 而 不 让 人 很 容易 就 直接 看 出 来 ， 质 
疑 性 的 玩笑 也 可 以 使 用 移 位 加 密 ， 使 无 意 看 到 它 的 人 不 会 有 罪恶 感 。 

术语 : 移 位 密码 是 对 称 的 ， 也 即 在 给 出 解密 密 钥 的 情况 下 就 能 知道 加 密 密 钥 ， 反 之 亦 然 。 
它 是 单 表 代 替 的 ， 对 所 有 的 字母 都 是 按照 同样 的 方法 〈 辐 一 个 密 钥 ) 进行 加 密 。 


习题 


1.1.01 用 密 钥 13 对 “this is the message” 进 行 移 位 加 密 。 

1.1.02 用 密 铀 7 对 “this is the message” 进 行 移 位 加 密 。 

1.1.03 用 密 钥 19 对 “this is the message” 进 行 移 位 加 密 。 

1.1.04 用 密 钥 8 对 “this is the message” 进 行 移 位 加 密 。 

1.1.05 用 密 钥 12 对 “this is the message”* 进 行 移 位 加 密 。 

1.1.06 为 Caesar 密码 加 密 的 消息 “WKLV VKRXOG EH TXLWH HDVB” 解 密 。 
1.1.07 为 Caesar 密码 加 密 的 消息 “WDNH PH RXW WR WKH EDOO JDPH” 解 密 。 
1.1.08 为 Caesar 密码 加 密 的 消息 “UIFTF BSF UJNFT UIBU NBLF VT UJSFE” 解 密 。 
1.1.09 为 移 位 密码 加 密 的 消息 “VO DOHA H ILHBAPMBS TVYUPUN” 解 密 。 

1.1,.10 为 移 位 密码 加 密 的 消息 “YRQ QEFP BUXJMIB FP IBPP BXPV” 解 密 。 

1.1.11 为 移 位 密码 加 密 的 消息 “JYRIB YRJ GIVKKP KVYVKY” 解 窗 。 

1.1.12 为 移 位 密码 加 密 的 消息 “WX KDBRWNBB URTN BQXF KDBRWNBB ”解密 。 
1.1.13 为 移 位 密码 加 密 的 消息 “KTBG BG LITBG YTEEL BG MAX IETBG” 解 密 。 
1.1.14 为 什么 说 移 位 幅度 大 于 25 是 不 明智 的 ? 

1.1.1S 为 什么 向 前 移 位 1 步 与 向 后 移 位 26 -上 是 一 样 的 ? 


1.2 约 简 / 整 除 算法 


对 一 个 非 零 整数 mm ， 考 虑 模 1m 约 简 (reduction modulo m )， 也 就 是 用 m 做 带 余 除法 。 
即 ， 对 为 模 m 的 约 简 就 是 入 除 以 m 时 产生 的 余数 。 这 个 过 程 也 被 称 作 整 除 算法 。 
更 准确 地 说 ， 对 NN 模 m 的 约 简 就 是 唯一 的 整数 + (余数 )， 其 范围 为 ; 


0<r <|m| 
内 此 N 可 以 写成 : 

N=q:m+r 
整数 g 是 商 。 我 们 也 可 以 写成 : 

Nom=r 


(通常 “ 模 ” 被 简 记 为 mod 〉 非 负 整 数 m 就 是 模 数 。 例 如 : 
10%7 二 3 (因为 10 王 1.7 十 3) 
10%5 二 0《 因 为 10 王 2.5 十 0) 
12%2 王 0《〈 因 为 12 一 6.2 十 0) 
1S%7 一 1《〈 因 为 15=2.7 十 1) 
100%7 王 2《〈 因 为 100 王 14.7 十 2》 
1000%2 王 0《〈 因 为 1000 王 S002 十 0)》 
1001%2 王 1《〈 因 为 1000 王 S00.2 十 1) 
为 了 简单 起 见 ， 在 一 些 文献 资料 中 通常 将 “ 模 m 约 简 ” 随 意 地 简化 为 “N 模 m ”。 但 
是 ， 我们 稍 后 就 会 看 到 “NN 模 m ”还 有 另外 一 个 意义 相关 却 又 截然 不 同 的 含义 。 通 过 上 下 文 
我 们 一 般 都 能 明白 “NW 模 m ”的 确切 含义 , 但 是 仍 要 小 心 以 免 出 错 。 我 们 将 用 一 个 与 大 多 数 
计算 机 语言 相当 兼容 的 运算 符号 来 表示 : 
Xx%m 
x 模 m 约 简 
模 m 运算 可 以 用 手工 通过 熟悉 的 “长 除 ” 算 法 得 到 。 当 入 、m 都 是 正 数 时 ， 即 使 一 个 
简单 的 掌上 计算 器 都 能 用 来 求 模 ， 例 如 : 用 入 除 以 m 得 到 一 个 数值 ， 减 去 该 数 的 整数 部 分 ， 
乘 回 m 就 得 到 NN 模 m 的 结果 。 男 外 一 种 是 当 模 数 m 为 大 数 时 仍 是 比较 稳定 的 算法 ， 是 入 除 
以 m 得 到 一 个 小 数 ， 去 掉 商 的 小 数 部 分 ， 再 乘 以 m ， 最 后 从 NN 中 减 去 上 述 乘积 ， 得 到 的 就 是 _ 
NN 模 m 的 结果 。 上 述 两 个 算法 看 起 来 并 没有 什么 区 别 ， 上 毫 无 疑问 计算 器 的 不 同 就 是 小 数 点 后 
所 精确 到 位 数 的 不 同 。 这 就 是 区 别 ， 所 以 第 二 种 算法 要 好 一 些 ， 因 为 当 数 值 大 到 一 定 程度 时 ， 
精确 性 就 成 了 问题 。 
上 述 的 模 运 算 同 样 可 以 应 用 到 负 整 数 。 例 如 : 
-10%7=4 因为 -10=(-2):7+4 
-10%5=0 因为 -10=(-2).5+0 
-15%7=6 因为 -15=(-3).7+6 
但 是 上 面 提 到 的 两 种 算法 都 不 能 直接 得 到 正确 的 结果 。 因 为 ， 首 先 ，-N 模 m 的 结果 不 
等 于 入 模 m 结果 的 负数 。 此 外 ， 我 们 假设 所 有 参与 模 运 算 的 数 都 是 非 负 数 。 例 如 : 
10= 1.7 +3 
表示 10 模 7 余 3， 但 如 果 我 们 将 上 式 两 边 取 负 ， 得 到 ; 


席 兴 鸳 码 5 


-10= (~-1) ‘7+ (-3) 
上 式 的 “-3” 并 不 符合 我 们 的 要 求 。 技巧 就 是 将 “_3” 加 上 7 的 代数 ， 同 时 从 《-1x7) 中 
去 该 值 ， 得 到 : 


—10= (—1-—1) .7+ (-3+7) 


最 后 ， 有 : 
-10= (-2) .7+4 
还 有 一 个 例外 ， 当 余数 是 0 时 ， 就 像 : 
14 =2.7 +0 
当 我 们 取 负 时 ， 得 到 : 
-14= (-2) .7+0 


这 时 ， 就 没有 必要 再 作 处 理 ， 因 为 0 已 经 是 非 负 数 了 。( 如 果 我 们 又 如 了 7， 其 结果 就 会 超出 
正常 范围 。) 总 而 言 之 ,， 设 + 是 入 模 m 的 余数 。 那 么 ,如 果 + #0， 则 -NN 模 m 的 余数 是 mr ， 
如 果 + =0， 则 余数 就 是 0 。 

模 数 也 可 以 是 负数 。 但 是 N 模 关 的 运算 就 是 入 模 | 天 | ， 所 以 也 就 没有 必要 再 介绍 了 。 

注意 ， 这 里 定义 的 任何 整数 模 m 的 余数 都 是 非 负 数 ， 这 与 一 些 计 算 机 语言 中 的 用 法 并 不 
一 致 。 在 那里 ， 负 整数 _N 构 m 的 余数 等 于 NN 模 m 的 余数 的 负数 。 我 们 在 书写 计算 机 代码 时 
一 定 要 记 住 这 个 区 别 。 

整数 入 模 m 的 乘法 逆 就 是 一 个 整数 :， 使 得 Nt%m =1。 认 识 到 新 概念 中 加 在 “ 模 ” 前 
面 的 “ 逆 ” 字 很 重要 。 因 为 乘 以 :然后 约 简 m )， 最 后 得 到 的 结果 是 1， 与 倒数 有 相同 的 抽 
象 特 性 。 然 而 ， 我 们 知道 2 的 倒数 0.5 是 有 理 数 或 实数 ， 但 却 不 知道 2 模 5 的 逆 是 什么 。 因 
此 ,虽然 模 m 的 逆 与 通常 意义 上 的 倒数 有 很 强 的 抽象 联系 ， 但 是 很 容易 引起 误解 ， 误 认为 有 
直接 切实 的 联系 。 

例如 ， 由 于 2X3=6, 减 去 模 数 5 得 到 1， 我 们 可 以 说 3 是 2 模 5 的 道 ， 但 这 并 不 是 说 ， 
“3=1/2” 或 “3=0.5” 或 其 他 。 另 外 一 个 例子 ，143 是 7 模 1000 的 逆 ， 因 为 7X 143=1001， 
然后 模 1000 得 到 1。 另外， 我 们 可 以 知道 ，2 模 10 就 不 存在 乘法 送 ， 因 为 任何 倍数 2x 都 
是 偶数 ， 然 而 gx10+1 肯 定 是 奇数 。 

因此 ， 作 为 整数 是 否 有 乘法 逆 并 不 清楚 。 对 于 如 何 有 效 地 扩 到 乘法 逆 更 是 不 可 知 。 我 们 
在 这 里 暂且 留 作 一 个 小 小 的 悬念 ， 但 稍 后 将 做 出 肯定 的 解答 。 

最 后 ， 我 们 将 证 明 约 简 / 整 除 算法 中 商 和 余数 的 存在 性 和 唯一 性 。 

命题 给 定 一 非 零 整数 m 和 任意 整数 N， 存在 唯一 的 整数 g 和 7 ,使 得 0 过 < m| 且 

N=g-:m+r 

证 明 对 于 给 定 的 整数 m 和 入， 令 革 是 所 有 形 如 NN 一 x|m| 的 整数 的 集合 ， 设 r 是 对 中 
最 小 的 非 负 整数 。 9 为 满足 等 式 N -gim|=r 的 整数 。 

首先 ， 我 们 证 明 0<r dm| 。 假 设 > 习 站 ， 则 -|m|l20 。 由 此 +-|m| 可 以 写成 
N-(g+])im|, 故 可 知 其 在 集合 中 。 但 是 r-|mj<r ， 这 与 + 是 六 中 最 小 的 非 负 整 数 的 事实 
相 矛 盾 。 因 此 72|m| 的 假设 错误 ， 所 以 有 + <m|。 另 外 ， 根据 N=glmj+r， 如 果 m>0， 则 
有 N=qm+r; 如 果 m<0; 则 用 -9 代替 9 仍然 可 以 得 到 N=gqm+r。 

下 面 ， 我 们 证 明 g 和 vr 的 唯一 性 。 假 设 有 不 同 的 g,9' 和 +r,r' 满 足 : 


qm+r=qm+r' 


6 之 1 匡 





其 中 0<r <m，0 和 <r'<m。 由 于 对 称 性 ， 我 们 可 以 假设 rr (反之 亦 然 )， 得 到 : 
(gqg'—g) .m=r'—r 
并 且 x'-r0。 如 果 -rz0， 则 gqg'-gz0， 因 此 : 
rrdr -rHg -gllm2l|m| 
但 是 ， 
~-r<r'dml] 
这 样 ， 我 们 就 得 到 矛盾 的 式 子 : 
|m <r'—r <dml| 

也 就 是 与 假设 rr' 逆 盾 。 因 此 + =r 。 同样 从 (g'-q)m=r'-r=0( 且 m0) ， 我 们 可 以 得 到 
gq =9 。 这 就 证 明了 唯一 性 。 

我 们 还 必须 确定 集合 了 里 面 含有 一 些 非 负 整 数 ,否则 我 们 得 出 的 上 述 推论 就 是 错误 的 。 这 
并 不 奇怪 ,一 方面 ,如 果 N >0 ， 则 -0.|m| 肯 定 是 正 数 。 另 一 方面 ， 如 果 N <0， 对 于 绝对 
值 充分 大 的 负数 x， 式 子 -x.|m| 是 正 数 。 全 

备注 ”任何 由 正 整 数组 成 的 非 空 集合 有 一 个 最 小 元 的 断言 也 就 是 正 整 数 的 良 序 原理 
(Well ~ Ordering Principle)。 

命题 设 n 和 NN 为 两 个 整数 ， 对 某 个 整数 有 N= kn， 则 对 任意 球 数 x 

| (XIN Wn = xYon 

证 明 设 x=Q.:N+R, 昌 0<R<N|, 这 里 R 为 x 模 N 的 约 简 。 进 一 步 , 设 
R=q:n+r 且 0<r <n|， 这 里 + 为 R 模 nn 的 约 简 ， 则 有 

x=QN+R=QOUn)+qntr=(Qktq)-ntr 

因此 + 也 是 x 模 n 的 约 简 。 全 
习题 

1.2.01 求 1000 模 99 的 约 简 。 

1.2.02 求 1001 模 81 的 约 简 。 

1.2.03 求 10 模 81 的 约 简 。 

1.2.04 求 1000 模 73 的 约 简 。 

1.2.0S 求 1000 模 89 的 约 简 。 

1.2.06 求 - 10 模 88 的 约 简 。 

1.2.07 求 - 23 模 67 的 约 简 。 

1.2.08 求 - 1 模 123 的 约 简 。 

.1.2.09 求 - 1000 模 88 的 约 简 。 

1.2.10 求 - 1 模 123 的 约 简 。 

1.2.11 求 - 10 模 59 的 约 简 。 

1.2.12 求 - 1000 模 279 的 约 简 。 

1.2.13 求 - 997 模 399 的 约 简 。 

1.2.14 证 明 一 个 正 整 数 NN 模 10 的 约 简 就 是 NN 的 个 位 数字 。 

1.2.15 证 明 一 个 正 整数 NN 模 100 的 约 简 就 是 由 的 十 位 数字 和 个 位 数字 组 成 的 数 。 

1.2.16 设 m 是 一 非 零 整 数 ， 证 明 入 模 --m 的 约 简 与 N 模 m 的 约 简 一 样 。 
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1.2.17 如 果 r 是 入 模 m 的 约 简 ， 并 且 rz0， 证明 m--r 是 -N 模 m 的 约 简 。 
1.2.18 用 穷 举 法 求 13 模 100 的 道 。 

1.2.19 用 穷 举 法 求 87 模 100 的 逆 。 

1.2.20 用 穷 举 法 求 29 模 100 的 逆 。 

1.2.21 用 穷 举 法 求 31 模 100 的 逆 。 

1.2.22 用 穷 举 法 验证 在 1,2,…,25 中 具有 模 26 乘法 逆 的 整数 为 奇数 ，13 除外 。 
1.2.23 (*) 设 m 是 一 个 正 整 数 ， 证 明 对 所 有 的 整数 x,y ， 以 下 式 子 成 立 : 


((x%m) + (yHm Wm = (x + ym 
((x%om) x (yWm)) Wm = (xx ym 
1.3 一 次 一 密 密 码 本 


一 次 一 密 密 码 “OTP, One-Time Pad〉 如 果 被 正确 使 用 ， 则 是 相当 安全 的 。 我 们 甚至 可 以 
证 明 它 是 相当 安全 的 ， 而 不 仅仅 是 主观 相信 。 从 概念 上 说 它 是 非常 简单 的 。 它 是 目前 世界 上 
唯一 已 知 的 与 攻击 者 攻击 时 间 和 攻击 机 器 无 关 的 。 可 保密 消息 的 密码 。 出 于 这 个 原因 ， 世 界 
上 一 些 非常 敏感 的 通信 都 使 用 OTP, 比如 发 射 核武 器 的 代码 等 OTP 密码 有 时 也 称 为 Vernam 
密码 ， 以 Gilbert Vernam 而 得 名 ， 此 人 大 约 在 1917 年 就 使 用 这 种 密码 。 下 面 我 们 简要 描述 一 
下 OTP 密码 。 

注意 这 里 当然 还 有 一 个 条 件 ， 我 们 说 的 是 “正确 使 用 ”。 如 果 密 钥 被 重复 使 用 ， 或 者 使 用 
了 质量 很 差 的 密 钥 ， 则 OTP 密码 很 容易 失败 。 比 如 ， 如 果 一 个 密 钥 被 重复 使 用 了 ， 则 该 密码 
就 成 了 维 吉 尼 亚 密码 ， 稍 后 我 们 会 看 到 如 何 成 功 攻 击 这 样 的 密码 。 

为 了 使 加 密 和 解密 的 讨论 容易 进行 ， 我 们 仍然 采用 通常 的 记号 ， 词 汇 表 是 模 m 约 简 的 。 
例如 ， 如 果 我 们 将 小 写字 母 分 别 编码 为 : a 一 0,5 一 1,c 一 2,…,z 一 25， 则 移 位 密码 的 加 密 就 可 以 
简单 地 用 一 个 由 集合 {0,..2,…,2S} 到 自身 的 函数 囊 “〈 与 密 钥 上 确定 需要 移 多 少 位 相关 ) 来 给 
出 ， 有 具体 公式 如 下 ;: 





Er (x) = (x+k)%26 
同样 ， 密 钥 为 上 的 移 位 密码 的 解密 也 可 看 作 另 外 一 个 函数 Pi : 
Di (x)= (x — k)%26 

因为 移 位 密码 的 密 钥 空间 太 小 ( 仅 为 25)， 所 以 它 很 弱 ， 甚 至 容易 受到 唯 密 文 攻击 。 

我 们 来 考虑 另 一 种 极端 情况 ， 即 设法 使 密 钢 与 消息 本 身 一 样 大 。 这 当然 是 很 有 帮助 的 ， 
因为 这 就 产生 了 一 个 极 大 的 密 钥 空间 。 这 就 是 OTP 密码 的 主要 思想 之 所 在 ， 当 然 还 要 求 密 钥 
只 能 使 用 一 次 。 由 于 密 钥 的 一 次 性 使 用 , 这 使 得 OTP 密码 比 仅 有 较 大 密 钥 空 间 的 密码 又 要 强 
一 些 :无 论 攻击 者 花费 多 少时 间 和 精力 , 都 不 会 从 正确 运用 OTP 加 密 的 密 文中 得 到 任何 信息 。 
这 不 仅 是 一 个 产生 无 法 处 理 的 巨大 密 钥 空间 的 问题 了 。 

OTP 密码 的 工作 方式 如 下 ， 假设 我 们 希望 发 送 一 个 非常 重要 的 长 度 为 n 的 消息 ， 并 想 通 
过 OTP 加 密 。 我 们 选择 一 个 包含 h 个 随机 字符 的 密 钥 = (所,k,,…,,) ,这 里 我 们 可 以 将 每 个 
字符 当 作 0 到 25 之 间 的 一 个 整数 (利用 前 面 的 编码 方法 )， 需 要 被 加 密 的 消息 为 
xz= (x1,X2,…, Xn)， 同 样 每 个 字符 被 编码 为 0 以 25 之 间 的 整数 。 使 用 加 密 防 数 玉 ， 它 是 一 个 
长 为 n 的 字符 串 的 集合 到 自己 的 一 个 函数 。 使 用 以 26 为 模 进 行 约 简 的 思路 ， 这 个 函数 的 公式 


可 简写 为 ，x%26 (x 模 26 约 简 )。 这 样 就 可 将 OTP 加 密 表 示 为 : 

E(x) =((x + hk )%26, (x, + ky)%26,.%, (x +k,)%26) 
也 就 是 说 明文 x 中 的 每 一 个 字符 被 移 位 ， 旦 移动 的 位 数 由 对 应 的 密 钥 来 确定 。 那 么 解密 函数 
Di 同样 可 表示 为 : 

Di (x) = (oa — hk)%26, (x ~ ks)Y026,.…, (x — Kk )%26) 

比如 ， 明 文 长 度 为 10， 密 钥 是 发 方 和 收 方 事先 就 要 协商 好 使 用 一 个 看 起 来 相当 随机 的 长 
为 10 的 数字 序列 ， 每 个 数 均 在 0 到 25 之 间 ， 假 设 密 钥 为 上 = (8,13,24,19,9,1,0,7,20,3) ， 明 文 x 
首先 被 编码 为 x= (812,15,14,18,18,.8,.1114) ， 则 

Ei (xz)=((8+8)%26,.(12+13)9%626, (15+24)%26, (14+19)%26, (18+19)%26, 
(18+1)%%26, (8+0)%26, (1+7)%26,(11+20)%26,(4+3)%26) 
= (16,25,13,7,1,19,8,8,5,7) = QZNHBTIIFH 

顺便 说 一 下 ，OTP 的 优点 就 是 它 是 多 表 代 替 ， 即 相同 的 字母 依据 它 在 明文 中 出 现 的 不 同 
位 置 而 用 不 同 的 方式 加 密 。 这 上 比 单 表 代 替 〈 移 位 密码 ) 有 明显 的 优势 ， 因 为 在 单 表 代替 中 同 
一 个 字母 总 是 被 加密 成 同一 个 密 文 字符 。 

下 面 我 们 简要 地 描述 一 下 OTP 密码 是 相当 安全 的 证 明 。 首 先 我 们 来 说 明 相 当 安全 的 含义 
是 什么 ， 即 截获 了 密 文 的 攻击 者 ， 不 会 获得 关于 明文 的 任何 额外 的 信息 ， 即 与 他 们 没有 获得 
密 文 时 的 情况 一 样 。 当 然 这 听 起 来 就 有 滑稽 ， 但 如 果 你 仔细 考虑 一 下 ， 你 会 完全 赞同 这 个 定 
义 的 。 那么 OTP 密码 是 如 何 达 到 这 一 目的 呢 ? 粗略 的 思想 描述 如 下 ; 

随机 的 比特 + 有 意义 的 n 比特 = 随机 的 n 比特 
也 就 是 
随机 的 0 或 1+ 有 意义 的 0 或 1= 随 机 的 0 或 1 
即 这 里 要 求 随机 数 资 源 要 与 消息 一 样 多 ， 否 则 随机 数 就 无 法 完全 掩盖 消息 的 含义 。 

但 是 ， 这 里 仍 存在 弱点 。 首 先 ， 这 里 有 一 个 诱惑 ， 即 发 送 方 和 接收 方 愿意 使 用 他 们 容易 
记忆 的 词 或 短语 作为 他 们 的 密 钥 《当然 要 编码 为 0 到 25 之 闻 的 整数 )， 比 如 某 个 人 的 名 字 ， 
宠物 的 名 字 或 者 书 的 标题 等 等 。 那 么 村 发 送 方 和 接收 方 比 较 熟 悉 的 攻击 者 就 可 能 尝试 这 种 密 
钥 。 即 使 攻击 者 没有 关于 发 方 和 收 方 详细 的 资料 ， 一 个 聪明 的 攻击 者 也 可 能 会 尝试 英语 中 10 
个 字母 的 短语 作为 密 钥 。 尽 管 全 部 尝试 这 些 密 钥 的 工作 量 会 让 人 感到 腿 惧 ， 但 是 英语 中 10 
个 字母 的 短语 的 数量 比 起 108 还 是 要 小 得 多 。 这 种 攻击 方法 我 们 通常 称 为 字典 攻击 。 

注意 ， 如 果 明 文 消息 和 密 钥 都 不 是 没有 意义 的 文字 时 ， 字 和 典 攻击 就 有 可 能 成 功 。 无 论 如 
何 ， 如 果 明 文 消息 本 身 就 是 没有 意义 的 ， 特 别 是 它 包 含 一 些 ASCI 码 中 不 可 打印 的 字符 时 ， 
攻击 者 就 很 难得 到 正确 的 解密 。 

另外 一 个 使 用 OTP 密码 过 程 中 的 诱惑 就 是 密 钥 的 重复 使 用 , 这 是 一 个 致命 的 错误 ， 因 为 
这 使 得 Friedman 的 重合 指数 攻击 成 为 可 能 ， 就 如 辣 密码 此 时 已 成 了 维 吉 尼 亚 密码 。 但 是 如 果 
不 重复 使 用 密 钥 ， 那 么 这 样 一 个 巨大 的 密 钥 的 产生 和 分 发 就 成 了 一 个 非常 困难 的 问题 ， 如 同 
发 送 消 息 本 身 一 样 麻烦 。 这 就 是 密 钥 分 配 和 密 钥 管理 基本 问题 的 第 一 个 例子 。 任 何 实际 的 加 
密 讨论 都 会 涉及 到 这 个 问题 。 

如 果 OTP 密码 被 正确 使 用 ， 即 没有 重复 使 用 密 钥 ， 那 么 对 已 知 明文 的 攻击 就 没有 意义 了 ， 
因为 获得 的 密 钥 除了 能 得 知 当 次 的 明文 外 不 会 再 有 别 的 用 处 ,同样 ,选择 明文 攻击 也 就 没有 意义 。 

男 外 一 个 潜在 的 问题 就 是 ， 当 明文 消息 特别 长 时 ， 编 排 同 样 长 度 且 随机 的 密 钥 就 成 为 了 
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问题 。 如 果 对 这 种 很 长 明文 消息 的 密 钥 不 是 很 随机 ， 则 可 能 会 给 几 种 唯 密 文 攻击 提供 条 件 ， 
我 们 在 后 面 讨论 其 他 古典 密码 时 还 将 会 看 到 这 一 点 。 

术语 : 一 次 一 密 密 码 是 对 称 的 ， 即 知道 加 密 密 钥 就 等 于 知道 了 解密 密 钥 ， 反 之 亦 然 。 另 
外 它 还 是 多 表 代替 ， 在 整个 消息 中 同一 个 字符 通常 不 会 被 加 密 成 同一 个 字符 。 


习题 


1.3.01 用 密 钥 为 “excelsior” 的 OTP 密码 加 密 “nevermore”。 

1.3.02 用 密 钥 为 “idiosyncratic” 的 OTP 密码 加 窗 “nevermore”。 

1.3.03 用 密 钥 为 “tangentially” 的 OTP 密码 加 密 “nevermore ”。 

1.3.04 用 密 钥 为 “inconsequential ”的 OTP 密码 加 密 “nevermore”。 

1.3.05 用 密 钥 为 “antedeluvian” 的 OTP 密码 加 密 “dog has fleas”。 

1.3.06 用 密 钥 为 “hypeoversubstance ”的 OTP 密码 加 密 “idealism”。 

1.3.07(*) 已 知 长 度 为 8 字符 的 OTP 密 钥 为 英语 字母 ， 而 非 任意 8 字符 的 字符 串 。 估 计 
一 下 寻找 这 个 密 钥 的 工作 量 (a 到 z 被 编码 成 0 到 25)。 


1.4 仿 射 密码 


至 此 我 们 已经 知道 ， 移 位 密码 由 于 它 的 密 钥 空间 太 小 ， 使 它 容易 受到 穷 举 唯 密 文 攻击 。 
(并且 它 对 已 知 明文 攻击 和 选择 明文 攻击 都 是 透明 的 。〉 另 一 方面 ， 尽 管 一 次 一 密 密 码 是 完 
善 保密 的 ， 但 其 密 钥 生成 比较 困难 ， 密 钥 不 能 重复 使 用 ， 密 钥 分 配 成 为 一 个 巨大 的 问题 。 因 
此 我 们 还 是 回 到 移 位 密码 讨论 上 ， 并 试图 对 它 做 一 些 改进 。 

仍然 使 用 将 字母 编码 为 数字 ， 同 时 进行 模 26 约 简 计 算 的 思想 ， 我 们 考虑 如 下 仿 射 密码 
(the Affine Cipher) 的 加 密 函 数 ， 使 移 位 密码 的 密 钥 空间 稍微 增 大 一 些 : 

E, s(xX)=(a:x+b)%26 

这 里 的 ap 为 介 于 0~ 25 之 间 的 整数 。 这 实际 上 是 对 移 位 密码 的 推广 ， 妈 a=1 即 为 一 般 

的 移 位 密码 。 比 如 

E11(hello how are you) = GXSSB GBZ LKX FBT 
(我 们 仍然 用 小 写字 母 表示 明文 ,大写 字母 表 示 密 文 。) 因此 ， 这 里 的 密 钥 是 一 对 整数 (a,b) 。 
它 仍然 是 一 个 单 表 代 替 密 码 ， 只 不 过 是 密 钥 空间 增 大 了 一 些 罢了 。 当 然 这 个 密码 也 是 对 称 密 
码 ， 即 加 密 密 铀 和 解密 密 钥 实质 上 是 一 回 事 。 

当然 ， 我 们 也 希望 密 文 只 能 以 一 种 方式 被 解密 。 按 照 函 数 的 语言 ， 即 我 们 需要 E, ,有 一 
个 反 函 数 ， 或 者 至 少 是 一 个 左 反 函数 。 因 此 ， 我 们 希望 加 密 函 数 ;是 一 个 双 射 。 实 际 上 ， 
解密 函数 和 加 密 函 数 具 有 相同 的 形式 。 

命题 ”对 于 一 个 具有 模 26 乘法 道 a 的 整数 a， 仿 射 如 密 函数 EE, 。 有 一 个 反 函 数 

Das 一 Ess = bE, alb 
证 明 首先 我 们 有 Es = 五,。Eso， 并 且 我 们 知道 简单 的 移 位 密码 6, 有 反 函 数 局 .， 


所 以 如 果 E,。 有 反 函数 就 可 保证 BE, 有 反 函 数 。 但 是 因为 整数 a 具有 模 26 乘法 逆 a-!， 因 此 
已 6 的 反 函 数 可 由 下 式 给 





0(O= ax9%26= 巨 (9) 


10 第 I 本 





这 样 利用 反 函数 的 复合 ， 即 (fo。8g)”=g”"。f”， 可 得 
Es =(Es° Fo) =Eo°oE),=E, -0 万 )， b= En or Bb 
这 就 证 明了 我 们 的 结论 。 全 

如 果 我 们 认可 这 样 一 个 结论 ， 在 0 到 25 之 间 有 12 个 数 〈 除 13 以 外 的 奇数 ) 存在 模 26 
的 逆 ， 那 么 我 们 就 是 12x26--1=311 个 密 钥 (a,5)， 而 不 是 移 位 密码 的 25 个 密 钥 。( 这 是 因为 
对 a 有 12 种 选择 ，65 有 26 种 选择 ， 再 去 除 (a,5b) = (1,0) )。 至 少 从 相对 的 意义 上 说 ， 密 钥 空 间 
比 移 位 密码 的 有 所 增 大 。 
因此 ， 至 少 要 实施 穷 举 唯 密 文 攻击 (尝试 311 个 可 能 的 密 钥 ， 看 那 一 个 会 产生 有 意义 的 
输出 )， 计 算 量 也 是 有 所 增加 的 。 

在 关注 针对 更 厉害 的 唯 密 文 攻击 方法 进行 更 加 有 效 的 技术 改进 之 前 ， 我 们 先 来 看 一 下 选 
择 明文 攻击 和 已 知 明文 攻击 ， 它 们 此 时 也 会 比 使 用 移 位 密码 时 要 相对 难 些 。 

我 们 先 来 考查 选择 明文 攻击 ， 因 为 这 是 最 容易 的 ， 两 个 有 选择 的 明文 字符 就 足以 揭示 密 
钥 。 假设 (a,5) 是 一 个 密 钥 ,我 们 将 选择 两 个 不 同 的 明文 字符 x,y ， 这 样 就 可 由 E, s(x) 和 
Es(y) 的 信息 来 确定 密 钥 (a,5b) 。 选 取 x=0〔 对 应 于 字母 a )， 则 

E,,(0)=(a.0+b)%26= 6%26=b 
因此 密 钥 的 一 部 分 5 即 可 由 选择 的 一 个 明文 字符 直接 得 到 。 接 着 ， 由 
E,s()=(a:1+6)%26=(a+6)%26 
可 进一步 得 到 a 。 这 是 因为 5 是 已 知 的 ， 用 减法 和 模 26 约 简 即 可 。 

已 知 明 文 攻击 比 选择 明文 攻击 稍微 复杂 一 些 。 具 体 过 程 如 下 ， 假 设 我 们 得 到 了 两 个 在 0 

到 25 间 不 同 x,y 的 密 文 E(x) 和 E,,(y)， 然 而 我 们 还 不 能 控制 x,y 中 的 一 个 。 那 么 
Es s(x)— Ea,(y)=(a:(x—y))%26 
由 于 不 存在 5»， 因 而 我 们 可 减轻 计算 难度 。 如 果 我 们 的 运气 够 好 的 话 ， 即 如 果 (x 一 y) 存 
在 一 个 模 26 的 逆 (x 一 y)*， 则 
a=(x-y) (E(x)— Es,(y)%26 
那么 b 就 容易 通过 如 下 减法 计算 得 到 : 
b=(E, (x) —a.x)%26 

因此 ， 如 果 运 气 稍微 好 一 点 ， 若 找到 模 26 道 ， 有 两 个 明文 字符 的 已 知 明文 攻击 就 会 取 
得 成 功 。 

我 们 暂时 先 把 唯 密 文 攻击 的 讨论 放 一 下 ， 来 看 一 看 重复 应 用 仿 射 密码 会 得 到 什么 样 结 
果 ， 密 钥 可 以 相同 也 可 不 同 。 一 般 来 说 ， 如 果 一 个 加 密 方案 5 被 应 用 一 次 ， 则 称 为 单 轮 5 。 
如 果 加 密 方 案 $ 被 应 用 三 次 ， 则 称 为 三 轮 $S ， 经 以 此 类 推 。 重 复 应 用 一 个 加 密 方 案 的 动机 是 
这 样 的 ， 如 果 单 次 应 用 能 够 “混淆 ”明文 消息 ， 那 么 多 次 应 用 后 将 使 得 明文 消息 “混淆 ”得 
更 好 。 一 些 好 的 现代 密码 体制 也 是 这 样 做 的 。 

但 是 ， 许 多 古典 密码 的 多 轮 应 用 并 不 能 提供 额外 的 安全 性 。 这 可 由 移 位 密码 的 多 轮 应 用 
看 出 来 : 重复 移 位 的 效果 等 同 于 一 次 移 位 。 对 仿 射 密码 可 能 还 不 太 明 显 ， 但 可 由 如 下 公式 得 
出 : 





Ep° Eoa= Eo 
这 就 是 说 分 别 应 用 了 密 钥 (a,5) 和 Ce, a) 的 仿 射 密 答 与 使 用 单个 密 钥 (ac,ad +5) 的 效果 是 
一 样 的 。 继 续 这 种 重复 应 用 的 方式 ， 则 可 以 得 到 这 样 的 结论 : 任何 次 数 的 仿 射 密码 的 重复 应 
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用 与 一 次 这 样 的 加 密 获 得 相同 的 效果 。 

多 轮 仿 射 密码 〈 即 使 用 不 同 的 密 钥 ) 不 会 产生 任何 新 的 结果 ， 这 一 事实 也 可 用 来 说 明 这 
些 密码 不 能 很 好 地 “混淆 ”0 ~ 25 这 个 集合 。 

稍 后 我 们 还 会 利用 英语 的 基本 统计 性 质 ， 给 出 一 个 对 仿 射 密码 的 唯 密 文 攻击 。 

利用 Friedman 的 重合 指数 攻击 《我 们 后 面 会 用 到 维 吉 尼 亚 密 码 上 )， 可 以 对 仿 射 密码 发 
起 一 个 更 具 毁 灭 性 的 唯 密 文 攻击 。 假 设 消息 是 连 货 的 英语 ， 并 二 长 度 适 当 ， 则 这 种 攻击 可 实 
现 完全 自动 的 有 政 意 的 解密 。 当 这 种 攻击 完全 自动 时 ， 即 便 适 当 增 加 密 钥 空间 也 是 没有 意义 
的 。 


习题 








1.4.01 用 仿 射 密码 的 加 密 函 数 Ey(x) = (3.:x+7)%26 加 密 “meet me at midnight”。 

1.4.02 用 仿 射 密码 的 加 密 函 数 瓦 (xz) =(11:z+D%26 加 密 “meet me at midnight”。 

1.4.03 用 仿 射 密码 的 加 密 函 数 夯 ;(z) =(9.x+3)%26 加 密 “meet me at midnight”。 

1.4.04 用 仿 射 密码 的 加 密 函 数 E119(x)=(11:x+19)%26 加 密 “meet me at midnight”。 

1.4.05 用 仿 射 密码 的 加 密 函 数 ,s(x) = (19.x+8)%26 加密 “meet me at midnight”。 

1.4.06 确定 加 密 函 数 为 Ey(x) = (3.x+7)%26 的 仿 射 密码 的 解密 密 钥 。 

1.4.07 确定 加 密 函 数 为 包 | ;(x) = (11.x+5)%26 的 仿 射 密码 的 解密 密 钥 。 

1.4.08 确定 加 密 函 数 为 EF 3(x) = (7:x+3)%26 的 仿 射 密码 的 解密 密 钥 。 

1.4.09 确定 加 密 函 数 为 E16(x)=(13-x+16)%26 的 仿 射 密码 的 解密 密 钥 。 

1.4.10 给 定 一 个 正 整 数 m ， 并 设 包 ,是 由 EE,s(x)=(ax+b)%m 所 定义 的 由 集合 
{0,4,2,…,m 一 1} 到 自身 的 一 个 函数 ， 证 明 E, ,= El,: Eso。 

1.4.11 条 件 同 1.4.10， 证 明 Eo Ea = Ei agrs。 

1.4.12 已 知 明文 攻击 : 假设 B,,(3)=5 且 E,,(4)=7， 求 密 钥 (a,b)。 

1.4.13 已 知 明文 攻击 : 假设 ,G3)=19 且 E,,(4)=2， 求 密 钥 (a,b)。 

1.4.14 己 知 明文 攻击 : 假设 5,(3)=5 且 E,,(6)=7， 求 密 钥 (a,b)。 

1.4.15 已 知 明 文 攻击 : 假设 EB,,(1)=8 且 E,,(4)=11， 求 密 钥 {a,b)。 

1.4.16 已 知 明文 攻击 : 假设 6,,(8)=16 且 E,,(19)=21， 求 密 钥 (a,6)。 

1.4.17 已 知 明文 攻击 : 假设 5,(8)=11 且 EE,,(11)=1， 求 密 钥 (a,5b)。 

1.4.18 已 知 明文 攻击 : 假设 5,(9)=16 且 E,,(20)=11， 求 密 钥 (a,5b)。 

1.4.19 已 知 明文 攻击 : 假设 6,(3)=5 且 Es,(5)=7， 求 a 和 4 的 概率 。 

1.4.20 证 明 两 轮 仿 射 密码 实际 上 不 产生 任何 新 的 效果 ， 并 证 明 对 任何 字符 x (0 到 25)， 
都 有 E2s,25 (E25.25 (7X) =X o 

1.4.21 证 明 三 轮 仿 射 密码 可 能 实际 上 不 产生 任何 新 的 效果 ， 并 证 明 对 任何 字符 x (0 到 
25)， 都 有 32 (Es2( E32 (Xx) =x。 


本 章 的 主要 目标 是 : 为 探讨 英文 或 其 他 自然 语言 的 一 些 特征 而 介绍 有 关 概 率 的 简单 概 
念 。 下 面 这 个 问题 可 以 很 好 地 盖 明 这 个 思想 : 当 我 们 看 见 一 串 字 母 〈 数 字 和 标点 符号 )， 我 
们 将 如 何 辨别 “ 它 是 不 是 英文 ? ”如 果 说 一 个 会 说 英语 的 人 能 够 辨别 它 是 英文 ， 这 种 回答 太 
过 于 含糊 其 词 ， 因 为 并 没有 告诉 我 们 如 何 来 辨别 它 是 英文 ， 以 便于 其 他 不 会 英文 的 人 也 能 
识别 它 ， 或 者 把 它 描述 为 机 器 指令 。 对 于 这 个 问题 我 们 并 不 准备 在 此 给 出 一 个 更 好 的 答案 ， 
只 是 讨论 一 些 可 被 识别 并 以 系统 化 机 器 方式 加 以 应 用 的 英文 的 某 些 低级 特征 。 

最 重要 也 是 最 基本 的 特征 就 是 : 单个 字母 出 现 的 频率 。 这 已 经 成 为 对 弱 密 码 进行 攻击 的 
重要 内 容 ， 也 可 以 让 我 们 理解 概率 攻击 的 原理 。 

下 面 我 们 介绍 一 些 概率 的 基本 知识 。 首 先 介 绍 我 们 在 概率 统计 中 经 常用 到 的 一 些 计数 原 
理 ， 这 些 原则 也 将 在 本 书后 续 内 容 中 反复 出 现 。 


2.1 计数 
这 里 有 一 些 关 于 计数 方面 的 例子 。 虽 然 简单 ， 但 是 非常 重要 。 这 也 是 其 他 内 容 的 预备 知 
识 。 当 然 ， 我 们 这 里 讲 的 “计数 ”是 指 结构 化 的 计数 。 


例 1 假如 有 件 不 同 的 事物 ， 如 1 到 之 间 不 重复 的 整数 ， 试 问 一 共有 多 少 种 不 同 的 排 
序 方式 ? 








下 12，13， Ln In 
答案 很 显然 ， 第 一 件 事物 ii 共有 n 种 选择 ， 第 二 件 事物 就 只 有 -1 种 可 能 选择 〈 因 为 我 
们 不 能 重复 选择 已 经 用 过 的 数 )， 那 么 就 凉 只 剩 下 # -2 种 选择 〈 因 为 在 任何 情况 下 我 们 都 不 
可 以 再 选择 让利 产 了 1， 以 此 类 推 ， 六 1 有 2 种 可 能 ， 记 就 只 有 一 种 可 能 了 。 因 此 ，)7 种 不 同 
的 事物 一 共有 : 


n(n—l)-(n—2). 2.1 
种 可 能 的 排序 了 。 因 为 这 类 情况 频繁 出 现 ， 我 们 称 之 为 的 阶乘 ， 记 为 由 ， 即 有 :; 
nl=n:(n-l)-(n-2). .2.1 


例 2 n 个 元 素 的 集合 共有 多 少 个 包含 个 元 素 的 子 集 ? 第 一 次 选择 时 共有 nn 种 可 能 , 第 
二 次 剩 下 n-1 种 可 能 (因为 有 一 个 元 素 已 经 移 走 了 )， 第 三 次 剩 下 n-2 种 《因为 在 前 二 次 操 
作 后 ,有 两 个 元 素 不 能 得 迹 )， 以 此 类 推 , 第 次 就 剩 下 n-(k 1) 种 选 择 , 即 共有 一 种。 
但 这 并 不 就 是 我 们 所 求 的 结果 ， 因 为 它 包 含 的 是 所 有 不 同 排列 的 可 能 情况 ， 但 子 集中 的 元 素 
是 不 论 顺序 的 ， 即 : 
nl 的 
一 -一 和 中 结 
元 Kk! XX 实际 的 结果 
这 是 因为 由 例 1 的 结论 可 知 ，k 个 事件 共有 种 排列 ， 因 此 个 元 素 的 集合 中 个 元 素 的 子 
集 数 总 共 就 有 : 
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nl 一 | 天 
局 (天 一 大 )! k 


种 可 能 
党 出 现 ， 所 以 需要 给 它 一 个 名 字 和 记号 ， 因 此 它 被 称 为 二 项 式 系数 ， 记 为 
n! 一 | 于 
有 Ca 有 \k 
读 作 “n 选 k”。 


例 3 在 一 个 有 10 个 元 素 的 集合 中 ， 有 多 少 个 3 元 子 集 和 5 元 子 集 的 不 相交 子 集 对 (两 
集合 不 相交 》 ?在 第 一 次 进行 子 集 元 素 这 反 时 有 | | 种 可 能 ， 而 原始 集合 中 的 元素 个 数 认 
利 下 10 一 3=7 个 ， 因 此 ， 为 5 元 第 二 个 于 集 夺 拉 元 条 时 就 只 有 [了] 种 可 能 。 所 以 10 个 元 
的 集合 中 的 3 元 和 5 元 不 相交 子 集 对 共有 : 

10117 10! 7! 10! 
3 jls) 713! 512! 315121! 

例 4 在 元 集合 中 ,一 共有 多 少 个 上 元 子 集 对 且 两 两 不 相交 ? 其 中 2k <n。 首先, 第 一 

次 选择 元 子 集 时 共有 | “| 各 可能， 原始 集合 中 的 元 束 个 数 和 下 n -上 个 ， 于 是 第 二 次 和 择 时 





共有 | ”i ] 种 可能。 但 是 我 们 在 计数 需要 老外 第 一 了 了 集 和 第 二 子 集 顺 店 ， 事 实 上 问题 并 非 如 


此 。 现 在 我 们 知道 两 个 事件 (如 子 集 ) 在 排序 时 有 2! =2 种 可 能 ， 因 此 在 元 集合 中 的 两 两 
不 相交 的 元 子 集 对 的 个 数 共有 : 


1 {nfn-—k) 1 n! (n—k)! 
本 k ] cm k!(n—2k)! 
nl! 
~ 2k!1k!1(n—21)! 


总 结 前 面 例子 ， 对 于 整数 n,1,k 且 nn 宇 失 ， 在 一 个 n 元 集合 中 ，1 个 不 相交 的 天 元 子 集 族 
的 个 数 是 多 少 呢 ? 我们 有 : 





选择 第 一 个 子 集 的 元 素 的 可 能 有 : 


选择 第 二 个 子 集 的 元 素 的 可 能 有 : 


[ 


选择 第 三 个 子 集 到 第 ! 个 子 集 的 元 素 的 可 能 有 : 


1 一 (1 一 HK 
k 


但 是 由 于 在 计算 过 程 中 考虑 了 子 集 排序 ， 所 以 我 们 在 这 里 必须 除 以 有 才能 得 到 集合 族 的 实际 
值 ， 可 以 得 到 最 终 准 确 结果 ，; 
nl! 
1 一 | 


习题 


2.1.01 集合 {12,3} 中 共有 多 少 种 不 同 的 排列 方式 ? 

2.1.02 集合 {1,2,3,4} 中 共有 多 少 种 不 同 的 排列 方式 ? 

2.1.03 集合 {1,2,3,4,5} 中 共有 多 少 种 不 同 的 排列 方式 ? 

2.1.04 集合 {a,b,c,d,e} 中 共有 多 少 种 不 同 的 排列 方式 ? 

2.1.05 从 1,2,3,…,6,7 中 任 选 3 个 数 的 组 合 数 是 多 少 ? 

2.1.06 从 1,2,3…,9 中 任 选 3 个 数 的 组 合 数 是 多 少 ? 

2.1.07 集合 {1,2,3,4,5,6,7} 中 有 多 少 4 元 子 集 ? 

2.1.08 集合 {1,2,3,…,10) 中 有 多 少 5 元 子 集 ? 

2.1.09 集合 {1,2,3,…,12} 中 有 多 少 4 元 子 集 ? 

2.1.10 从 集合 {1,2,…,10} 中 选择 不 同 的 元 素 可 组 成 多 少 个 无 序 元 素 对 ?有 序 元 素 对 叉 
是 多 少 ? 

2.1.11 元 集合 S 中 ， 不同 大 小 的 子 集 共有 多 少 个 ?〈 提 示 : 5 中 的 元 素 要 么 在 子 集中 ， 
要 么 不 在 子 集中 ， 所 以 对 每 个 元 素 有 两 种 选择 。) 

2.1.12 集合 {1,2,3,4,5,6,7,8} 中 有 多 少 3 元 不 相交 的 子 集 对 ? 


2.2 基本 思想 


尽管 概率 的 基本 思想 在 某 些 情形 下 并 不 与 事实 相符 ， 但 它 还 是 我 们 的 文化 中 的 重要 部 
分 。 正 是 由 于 这 个 原因 ， 一 些 概 率 基 础 的 合理 结论 与 直觉 并 不 相符 ， 这 就 需要 经 过 反复 的 思 
考 ， 方 能 改变 直觉 并 与 之 相符 。 

事实 上 ， 概 率 的 数学 化 形式 与 真实 世界 的 描述 之 间 不 相符 的 情形 长 期 存在 ， 以 致 于 直到 
1930 年 以 后 概率 才 正 式 成 为 数学 系统 中 的 合法 组 成 部 分 。 我 们 习惯 地 认为 随机 性 或 者 随机 先 
择 是 有 准确 的 含义 ， 然 而 在 现实 生活 中 ， 它 们 意味 着 不 清楚 。 壁 如 我 们 会 认为 十 进 制 表示 的 
7 是 “随机 的 ”然而 我 们 并 不 能 直接 看 到 拱 述 7 的 实际 模式 。 

然而 ， 对 “概率 ”和 “随机 性 ”的 抽象 描述 最 起 码 能 够 对 现实 世界 中 的 观点 提供 参考 和 
启发 式 的 定位 。 在 本 节 的 最 后 ， 我 们 将 对 生日 攻击 中 计算 的 重要 应 用 作 全 面 的 介绍 。 

首先 ， 对 待 事件 发 生 的 几率 ， 有 一 个 从 通俗 观念 到 概率 观念 的 转变 过 程 。 通 常 来 说 ， 某 
个 事件 发 生 的 几率 是 用 一 个 百分比 来 表示 的 ， 概 率 的 取 值 是 在 0 到 ! 之 间 的 某 个 数值 。 最 简 
单 的 转换 规则 如 下 ， 如 果 说 某 个 事件 发 生 的 几率 为 x% ， 那 么 从 概率 的 角度 来 讲 ， 它 发 生 的 
概率 为 x/100。( 这 种 变换 并 没有 引入 新 的 内 容 。) : 

我 们 研究 的 第 一 个 例子 就 是 掷 硬币 问题 。 假 设 一 枚 “公平 的 ”硬币 它 总 是 以 “相等 的 几 
率 ” 正 面 朝 上 或 者 背面 朝 上 。 而 且 ， 每 次 投手 的 结果 独立 于 其 他 的 投 搓 。 也 就 是 说 ， 某 次 投 
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掷 的 结果 不 能 影响 任何 其 他 投掷 的 结果 。 那 么 〈 举 例 ) 10 次 硬币 投掷 的 结果 应 该 是 一 半 正 面 
朝 上 、 一 半 背 面 朝 上 。 很 少 有 全 部 10 次 投掷 都 是 “正面 ” 朝 上 的 结果 出 现 。 迄 今 为 止 ， 通 
过 这 种 含糊 其 词 的 介绍 ， 我 们 对 问题 的 本 身 还 没有 完全 的 认识 。 

但 是 ， 若 以 每 10 次 投掷 为 一 次 试验 ， 反 复 进行 这 样 的 试验 ， 结 果 表 明 只 有 大 概 1 /4 次 
试验 正好 出 现 5 次 正面 5 次 背面 。( 而 大 约 进行 2"==1024 次 试验 中 才 有 一 次 全 部 是 正面 朝 上 
的 结果 。》 事实 上， 大约 有 2 /5 的 结果 是 6 次 正面 与 4 次 背面 ， 反 之 亦 然 。 也 就 是 说 ，6 一 4 
分 布 或 4 一 6 分 布 的 结果 比 “ 预 期 ”的 5 一 5 分 布 的 结果 更 有 可 能 出 现 。 

但 是 这 并 不 是 自 相 矛盾 ， 因 为 直觉 告诉 我 们 并 不 是 正好 一 半 正 面 一 半 背 面 ， 而 只 是 大 约 
一 半 对 一 半 。 下 面 我 们 将 通过 一 种 更 好 的 方式 来 解释 这 一 问题 。 

记录 一 个 次 投掷 的 过 程 ， 每 一 枚 硬币 都 有 两 个 可 能 出 现 的 结果 ， 因 此 ，j 次 投掷 结果 
的 序列 就 有 : 

2x…x2=22 


种 可 能 。 由 前 面 的 假设 条 件 可 知 硬币 是 “公平 的 ”(fair〉 并 且 单 独 的 硬币 投掷 并 不 影响 其 他 
投掷 的 结果 ， 这 就 说 明 2? 个 投 扼 结 果 序 列 中 每 一 个 序列 都 是 等 概率 出 现 的 。 因 此 ， 任 何 单个 
序列 出 现 的 概率 是 所 有 次 可 能 结果 的 112" 。 而 且 ， 对 于 所 有 可 能 的 22 个 结果 序列 组 成 的 集 
合 4 及 其 子 集 $ ， 我 们 可 以 得 出 如 下 结论 ， 
给 定 一 个 结果 属于 5 的 次 投 毛 序 列 的 概率 
_ 集合 5 中 元 素 的 个 数 _ 集合 S 中 元 素 的 个 数 
集合 4 中 元 素 的 个 数 27 
那么 nn 次 投 据 恰 好 有 上 次 正面 朝 上 的 概率 《0 <<k <<n ) 计算 如 下 : 
n 次 投 撕 中 恰好 有 大 次 正面 朝 上 的 概率 
_ 2 次 投 葡 恰好 有 大 次 正面 朝 上 序列 的 个 数 
7 次 投掷 序列 的 总 个 数 
_ 1 次 投掷 恰好 有 大 次 正面 朝 上 序列 的 个 数 
. 2” 
为 了 计算 nn 次 投 折 恰好 有 次 正面 朝 土 的 概率 ,我们 可 以 将 这 个 问题 转化 为 在 n 元 集合 中 求 上 
元 子 集 的 问题 。 也 就 是 说 ， 全 集 就 是 二 次 硬币 投掷 所 有 可 能 的 结果 组 成 的 集合 ， 子 集 就 是 我 
们 要 求解 的 正面 朝 上 的 结果 组 成 的 集合 。 数 值 上 就 等 于 二 项 式 系数 ， 


i nl | 
" 选 k 一 i 上 
举例 来 说 ，10 次 投掷 的 结果 中 恰好 有 $ 次 正面 朝 上 的 概率 就 是 : 


图 (97 
5 )_\54321)_ 252 1 
20 1024 1024 4 
还 如 前 面 所 分 析 的 结果 一 样 。 而 6 一 4 组 合 或 者 4 一 6 组 合 情 况 出 现 的 概率 就 是 : 
10 次 投 丘 中 恰 有 6 次 正面 或 4 次 正面 的 序列 的 个 数 
210 
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1024 1024 1024 5 
这 样 的 结果 并 不 令 人 吃惊 , 在 2n 次 投 搓 中 , 正好 得 到 一 半 正 面 一 半 背 面 结果 的 概率 将 随 
着 投 锤 次 数 的 增加 而 下 降 。 实 际 上 ， 投 掷 的 次 数 趋 于 无 限 大 时 ， 这 个 值 将 趋向 于 0: 


pi 
0 


81 


24 
] 0.3125 


0.2734 


8 
5 
5 
0.2461 


210 


[有 
6 人 0.1813 
中 0.1683 


很 显然 不 会 正好 出 现 一 半 正 面 一 六 彰 面 而 只 是 接近 于 这 个 值 。 这 意味 着 什么 昵 ?” 过 去 
我 们 所 用 的 方法 ， 并 不 是 一 种 十 分 确切 的 方法 ， 而 只 是 利用 了 极限 频率 的 主要 思想 。 极 限 频 
率 的 定义 如 下 : 设 n 次 投 撕 得 到 正面 朝 上 结果 的 次 数 用 h(n) 来 表示 ， 那 么 随 着 投 撕 次 数 的 
不 断 增加 ， 比 率 h(n)/n 将 逐渐 接近 1/2。 或 者 ， 用 极限 的 语 守 家 未 训 是 ， 

h(n) _ 
J n 2 
我 们 称 正面 朝 上 的 极限 频率 为 /2。 对 于 任何 无 限 次 数 的 投 措 ， 这 个 结果 都 应 是 1/2。 

另外 一 种 比较 复杂 的 例子 就 是 从 缸 中 选 彩色 球 问 题 。 假 设 缸 中 有 六 个 球 ， 其 中 > 个 红色 
球 和 45=N-r 个 蓝 色 球 ， 球 的 材料 、 重 量 和 大 小 均一 致 。 如 果 由 一 名 被 蒙 住 眼 睛 的 人 来 从 一 
个 装 有 10 个 球 的 缸 任 选 一 个 ,那么 很 显然 ， 选 出 红色 球 的 概率 是 w10， 选 出 蓝 色 球 的 概率 是 
b/10。 反 复 进行 这 一 试验 ， 每 次 取 一 球 ， 记 下 球 的 颜色 (当然 是 暂时 不 蒙 住 眼睛 )， 然 后 将 球 
放 入 缸 中 ， 再 进行 下 一 次 选 球 。 在 试验 当中 ， 每 次 取 球 不 影响 下 一 次 的 取 球 任务 。 因 此 它们 
之 闻 是 相互 独立 的 ， 经 过 次 试验 得 到 红 球 的 结果 记 为 r(n)。 那 么 ， 与 前 面 的 讨论 类 似 ， 我 
们 可 以 得 到 任何 无 限 次 数 试验 后 得 到 红 球 的 极限 频率 为 
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n>% Nn N 
从 反面 来 考虑 这 个 问题 : 如 果 缸 中 共有 N 个 球 ， 一 些 红色 球 和 一 些 蓝 色 球 ， 如 果 r() 表 
示 n 次 试验 中 取得 红 球 的 次 数 ， 并 且 有 “试验 次 数 趋 于 无 限 ) 


那么 我 们 就 可 以 推断 出 : 
缸 中 红色 球 的 总 数 = 矿 - 
也 就 是 说 ， 我 们 可 以 从 取出 红色 球 的 极限 频率 六 ， 推 断 出 某 一 次 单独 试验 取出 红色 球 的 概率 
也 是 三 。 
在 浊 一 步 米 考虑， 一 个 乌 中 及 个 多 种 上 色 的 球 ( 除 须 色 外 ， 球 的 其 他 属性 完全 一 样 ) 
对 于 任 一 颜色 c ， 如 果 饶 中 共有 个 颜色 为 c 的 球 ， 那 么 我 们 可 以 假定 〈 在 一 次 试验 中 ) 从 
缸 中 取出 颜色 为 e 的 球 的 概率 为 n,/N 。 如 果 将 n 次 试验 取得 c 颜色 球 的 次 数 记 为 n(c) ,类 似 


地 我 们 就 可 以 推断 出 极限 频率 im“ 羡 的 值 为 ; 


n(c) _ ne 
lim 一 一 
moo HN N 

反 过 来 ， 如 果 已 知 取出 颜色 为 e 的 球 的 极限 频率 为 / ， 那 么 就 可 以 认为 缸 中 那 种 颜色 球 
的 总 数 为 .NN ， 并 且 我 们 认为 取出 c 颜色 球 的 概率 为 了 。 

其 实 我 们 反复 用 “频率 ”来 描述 概率 会 有 严重 的 缺陷 , 但 是 在 没有 给 出 严格 的 定义 之 前 ， 
这 使 得 我 们 更 容易 理解 概率 的 朴素 思想 ， 而 且 这 种 描述 已 经 给 我 们 了 解 这 种 思想 开 了 个 好 
头 。 我 们 将 逐步 抛 开 这 种 通俗 的 观点 。 

假如 做 某 个 试验 和 ， 所 得 的 不 同 结果 分 别 为 x,x,,…,x,。 收 集 所 有 可 能 的 结果 组 成 一 个 
样本 空间 。 每 个 执行 试验 XX 的 过 程 称 为 一 次 试验 ,每 种 可 能 的 结果 x 称 为 一 个 事件 。 我们 假 
设 所 有 的 结果 发 生 的 概率 为 p, >0， 并 有 : 

已 +P2+…+Pn=1 
用 标准 的 符号 表示 则 为 : 
P(X=%)= P(x)=p, 
我 们 把 它 读 作 : xz 的 概率 为 p,， 或 者 是 X=x 的 概率 是 P 。 
事件 《有 时 也 称 为 复合 事件 》 的 一 个 更 为 一 般 的 概念 就 是 样本 空间 的 任何 子 集 4 ， 样 本 
空间 可 表示 为 Q= fa,zo,，…,x 广 它 就 是 所 有 最 小 事件 的 集合 。 4 的 概率 就 是 ; 
P(A)= >》 Po) 
xie4 
即 对 和 集合 4 中 的 所 有 点 x 的 概率 进行 求 和 和 。 事 件 4 发生， 如 果 xe 4 发 生 。 因 此 ， 对 于 
4= ft 则 有 : 
P(A4)=P (或 x 或 :或 mx) 
作为 极端 情况 : P(Q)=1，P( 办 =0。 和 
一 般 地 ， 对 于 任何 事件 4 ， 非 4 事件 可 以 用 事件 4 的 补 集 4 = Q -4 来 表示 。 于 是 
P( 非 四 = P(A°)= P(H -A)=1-P(A) 
对 于 两 个 事件 4 和 8B， 事 件 4 或 者 8B 可 以 用 AUB 来 表示 ， 并 且 有 : 


大 交 9 





P(A 或 B) = P(AU B) 
对 于 两 个 事件 4 和 B， 事件 4 并 且 B 可 以 用 4 门 B 来 表示 ， 而 且 有 : 
P(ABB)= P(ANMB) 
两 个 事件 4 和 8B 是 不 相交 的 或 者 是 互相 排斥 的 ， 如 果 4 门 B = 名 。 这 样 我 们 就 有 
P(A 或 B) = P(AU B)= P(A)+P(B) 

我 们 可 以 通过 直觉 知识 、 极 限 频 率 或 者 其 他 方法 来 对 概率 p; 进 行 赋值 。 事实 上 ， 它 们 可 
以 通过 实验 的 方式 来 测量 ， 也 可 以 通过 某 些 启 发 式 的 方式 来 赋值 。 例 如 在 上 面 讲 述 的 极限 频 
率 的 例子 当中 ， 我 们 可 以 反复 地 进行 试验 忒 ， 后 面试 验 的 结果 并 不 影响 前 面 的 结果 ， 也 就 是 
说 ,它们 是 相互 独立 的 试验 。 在 次 这 种 独立 试验 中 出 现 x 的 次 数 记 为 n(x;)。 假 设 进行 无 限 


多 次 试验 ， 并 且 局 = lim 值 存在 。 那 么 极限 频率 ” 就 是 事件 x 发 生 的 概率 。 








例如 ， 考 虑 从 握 中 取 球 的 问题 ， 假 如 缸 中 有 3 个 红色 球 、3 个 蓝 色 球 和 4 个 白色 球 〈 除 
颜色 外 ， 球 的 其 他 属性 均 相 同 )。 由 直觉 知道 取出 任 一 球 的 概率 为 W10。( 由 于 我 们 每 次 只 取 
出 一 个 球 ， 所 以 “原子 ”事件 实际 上 是 互相 排斥 的 ) 因此 ， 最 小 事件 zz，…2ao 就 表示 从 
10 个 球 中 每 次 选 出 一 个 球 。 由 于 在 每 次 取 球 时 具有 等 同 的 几率 ， 所 以 概率 p; = P(x) 就 完全 
相等 (并 且 和 为 1): 

Pi= Pp2= Pp3=***= Pio 
如 果 (复合 ) 事 忻 4 表示 “取出 的 是 红色 球 ” 那么 4 就 是 一 个 三 元 子 集 , 包括 三 个 元 素 :“ 取 
出 第 一 个 红色 球 ”、“ 取 出 第 二 个 红色 球 ” 和 “取出 第 三 个 红色 球 ”。 因 此 
POOLTLT+TL 3 
10 10 10 10 | 
如 果 事 件 B 表示 “取出 一 个 白色 球 ”” 由 于 事件 4 与 事件 B 相 互 独立 ， 所 以 取 到 要 么 是 红色 
球 要 么 是 白色 球 的 概率 就 是 两 者 之 和 : 


P(AU B)= P(A)+ P(B) = 


10 10 10 
更 进一步 ， 我 们 进行 两 个 不 同 的 试验 X 和 7， 分 别 得 到 的 可 能 结果 为 ,x2,…,x,, 和 
尹 , 思 罗 。 如 果 对 于 所 有 的 下 标 1 去 i 和 姓 并 且 1< 太 入 2 有 : . 
P(X=xBY=y,)= P(X =x):P(Y =y)) 

那么 就 称 铸 和 了 相互 独立 。 

作为 一 个 基本 运算 的 例子 ， 我 们 有 如 下 的 结果 。 这 个 命题 的 结论 在 今后 的 概率 讨论 中 会 
经 常用 到 。 

命题 在 试验 XX 中 , 不 同 结果 为 ,zx 的 概率 分 别 为 P(x) = pi,…,P(x,) = p, .集合 4 
为 样本 空间 {x 、…,x,} 的 一 个 子 集 , 并 有 P(4) = P， 设 整数 < 和 N 且 k>0,，N >0。 那 么 N 次 
试验 中 集合 4 恰好 出 现 大 次 的 概率 为 : 


NY kf NN-k 
jr D) 


证 明 当 N=1l 时 , 4 出 现 的 概率 为 p ,= 项 式 者 为 1. 集合 4 不 出 现 的 概率 为 1-p， 
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-有数 中 抱 1. 


对 六 进行 归纳 : 因为 不 同 的 试验 之 闻 是 相互 独立 的 ， 所 以 有 : 
P (4 在 入 次 试验 中 出 现 大 次 ) 
= P(4 在 前 N -1 次 试验 中 出 现 k 次 ). P(4 在 第 入 次 试验 中 没有 出 现 ) 
+P (4 在 前 N -1 次 试验 中 出 现 在 -1 次 ), P(4 在 第 N 次 试验 中 出 现 ) 


=- pr rx 


N-1l) , CN 
+ 1(1— p)” 1 一 (天 Dxp 


现在 我 们 要 证 明 这 个 式 子 等 于 : Ge 一 站 
比较 两 个 式 子 可 以 看 出 ，p 和 1-pp 的 罕 次 已 经 匹配 ， 因 此 我 们 只 需 证 明 : 


CE 
k 天 一 1 k 
展开 二 项 式 ， 等 式 左 边 就 是 : 


(ND! (N-D! 
KI(N-1-A! (KDIN-1-KE-D)! 


ND ON- (N-D!:.k 


EN-1- 有 1 (N-1I-(k-D kK-D! NI-k-)! 


_(V-D!. [(W-1-(-D)+ 昌 _(W-D)!.N_ NI fw 
ElI(V 二 月 ! -Oe | 
命题 证 明 完 毕 。 4 
如 果 将 所 有 可 能 结果 组 成 的 集合 记 为 Q，( 复 合 ) 事件 4 发 生 的 概率 P(A)>0，B 为 另 
一 (复合 ) 事件 。 那 么 条 件 概率 (假定 4 出 现时 8B 出 现 的 概率 ) 就 可 以 用 符号 P(B| A) 来 表 
示 ， 其 计算 公式 为 : 
P(ANM2B) 
P(A) 
公式 P(8|4) =P(ANB)/P(4) 表 明 ， 我 们 可 以 通过 计算 另外 两 个 概率 来 计算 条 件 概 率 ， 
而 在 实际 情况 下 ， 由 于 某 种 原因 ， 也 许 我 们 可 以 直接 得 到 P(B8| A) 。 如 果 我 们 知道 P(A) 的 话 ， 
就 有 公式 : 


P(814)= 


P(AHB)= P(AMB)= P(B| A). PA) 
这 个 结果 将 在 下 面 的 例子 中 引用 。 
下 面 我 们 将 通过 另外 一 种 重要 的 基本 计算 来 解释 生日 攻击 Cbirthday attacks) 的 工作 原理 。 
令 
OQ = {1,2,..…, N} 
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为 所 有 “原子 ”事件 的 样本 空间 。 假 定 每 个 原子 事件 具有 相同 的 概率 ， 即 对 于 所 有 i =1,2,.…,N 
都 有 : 
, 1 
ZD= 六 
试验 就 是 从 样本 空间 Q 中 随机 选择 一 个 元 素 (并 不 是 从 集合 中 移 走 元 素 )。 问 题 就 是 : n 次 
试验 后 至 少 2 次 结果 相同 的 概率 是 多 少 ? 

命题 在 上 述 条 件 下 ，n 次 试验 后 至 少 2 次 结果 相同 的 概率 至 少 为 

1 一 Dr 
因此 ， 对 于 
n> vVJ2ln2VN 
出 现 两 次 相同 结果 的 概率 至 少 为 1/2。 

证 明 首先 计算 出 没有 两 种 完全 相同 结果 出 现 的 概率 ， 然 后 用 1 减 去 它 就 可 以 得 到 我 们 
期 望 的 结果 。 我 们 假定 n 次 试验 结果 有 序 排列 ， 并 根据 前 4 一 1 次 试验 的 结果 来 计算 出 n 次 试 
验 中 没有 两 种 相同 结果 的 概率 。 

经 过 1 次 试验 ， 只 有 一 种 结果 ， 所 以 没有 两 种 结果 相同 的 概率 为 1。 

经 过 2 次 试验 ， 只 有 1N 的 机 会 使 得 第 二 次 结果 与 第 一 次 结果 相间 无论 第 一 次 的 是 何 


种 结果 )。 因 此 ， 两 次 结果 不 相同 的 概率 就 是 1 一 。 

经 过 3 次 试验 ， 如 果 假 定 前 两 次 的 结果 不 同 ， 则 在 此 条 件 下 第 三 次 试验 结果 与 前 两 次 结 
果 中 的 一 个 相同 的 条 件 概率 为 21N 。 因 此 ,给 定 前 两 次 结果 不 同 ， 第 三 次 的 结果 也 与 前 两 次 
的 结 $ 果 都 不 相同 的 条 件 概率 就 为 1-  。 因为 前 两 次 结 果 不 相同 的 概率 就 是 1 一 一 ， 所 以 : 


2 
前 3 次 结果 均 不 同 ) = 1 一)d- 之 ) 
P( 前 3 次 结果 均 不 同 ) Ny 六 


经 过 4 次 试验 ， 假 设 前 三 次 试验 结果 不 相同 ， 第 四 次 结果 与 前 三 次 中 任 一 种 结果 相同 的 
条 件 概率 为 3/N 。 因 此 ， 在 前 三 次 试验 结果 不 相同 的 假定 情况 下 ， 第 四 次 与 前 三 次 结果 都 不 


相同 的 条 件 概率 为 1-- 3 。 利 用 前 面 的 结果 可 得 ; 


<| 


1 2 3 
结 可 人 个旧) 一 一 一- 一 一 一 一 一 
P( 前 4 次 结果 均 同 )= (1 x 0 ~ (1 ~ 
以 此 类 推 : 我 们 可 以 得 出 : 
1 2 3 n-l 
1 结 ~ 在 二 一 -一 一 一 一 一 一 os 一 一 一 一 
Pln 次 试验 结果 均 不 相同 ) 二 (1 wy” wy)! x (1 克 
所 有 结果 均 不 相同 的 概率 的 对 数 表示 为 : 
1 2 n-l 
Im- 六)+ind 一 7)+ +ind- 


当然 我 们 假定 xn< N ， 否 则 整个 过 程 就 没有 意义 了 。 然 后 调用 函数 In(1~x) 当 |xl<1 时 的 一 阶 
泰勒 级 数 展开 式 : 


) 


2 3 4 
in(1—x) 三 一 (x 十 十 十 十 -…) 
2 3 4 
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特别 地 ， 对 于 0<x<1， 下 面 的 表达 式 成 立 : 





lIn( ~ x)<=x 
因此 ， 
nd- 了)+ind 2) 4nd <-( 工 + 过 十 二 2) 
N N N WN N 
我 们 也 许 还 记得 公式 : 


1+2+3+4+… 十 (天 一 由 十 天 -了 kt+D 
运用 这 个 公式 ， 我 们 就 可 以 估计 : 


Ln_Dn 
In(P(n 次 试验 结果 均 不 相同 )) < 一 一 
由 于 指数 函数 是 递增 函数 ， 所 以 上 式 两 边 作为 函数 e* 的 指数 ， 即 可 得 到 次 试验 结果 均 不 相 
辐 的 概率 P(n 次 试验 结果 均 不 相同 ) 的 估计 值 ， 然 后 用 1 去 减 去 这 个 估计 值 ， 就 可 以 得 出 命题 
给 出 的 结论 。 
如 果 n 越 来 越 大 ， 表 达 式 n(n 一 由 与 er 的 实际 差距 越 来 越 小 ， 因 此 我 们 可 得 近似 的 公式 ;: 


2 
In(P(n 次 试验 结果 均 不 相同 )) < 一 二 


所 以 当 没 有 两 种 相同 结果 的 概率 小 于 1/2 时 ， 至 少 出 现 两 次 相同 结果 的 概率 就 会 大 于 或 等 于 
1/2。 因 此 ， 给 定 一 个 NN， 我 们 就 可 以 找到 一 个 满足 条 件 的 最 小 的 n 使得: 
nl 
2N .| 2 
由 此 我 们 便 可 得 出 命题 的 结论 。 他 
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2.2.01 在 10 次 搁 重 币 试验 中 ， 恰 有 3 次 正面 朝 上 的 概率 是 多 少 ? 

2.2.02 在 10 次 搓 硬 币 试验 中 ， 恰 有 $ 次 正面 朝 上 的 概率 是 多 少 ? 

2.2.03 在 6 次 掷 硬币 试验 中 ， 正 面 出 现 的 次 数 严格 地 多 于 背面 出 现 次 数 的 概率 是 多 少 ? 

2.2.04 在 8 次 掷 硬 币 试验 中 ， 正 面 出 现 的 次 数 严格 地 多 于 背面 出 现 次 数 的 概率 是 多 少 ? 

2.2.05 在 9 次 撕 硬 币 试验 中 ， 正 面 出 现 的 次 数 严 格 地 多 于 背面 出 现 次 数 的 概率 是 多 少 ? 

2.2.06 如 果 一 个 缸 中 有 3 个 红色 球 和 7 个 蓝 色 球 ， 则 在 2 次 试验 中 取 到 2 个 红色 球 的 概 
率 是 多 少 ? 

2.2.07 如 果 一 个 缸 中 有 5 个 红色 球 和 6 个 蓝 色 球 ， 则 在 2 次 试验 中 取 到 2 个 红色 球 的 概 
率 是 多 少 ? 。 

2.2.08 如 果 一 个 缸 中 有 3 个 红色 球 和 7 个 蓝 色 球 ， 则 在 10 次 试验 中 至 少 4 次 取 到 红色 
球 的 概率 是 多 少 ? | 

2.2.09 证 明 1+2+3+4+…+(On-D+n=InOoAD， 


2.2.10 在 一 次 掷 两 个 仍 子 的 试验 中 ， 得 到 “7 点 ”或 者 “8 点 ”的 概率 是 多 少 ?” 得 到 “2 
点 ”的 概率 又 是 多 少 ? 
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2.2.11 在 3N 次 掷 硬 币 试验 中 ， 至 多 有 六 次 正面 朝 上 的 概率 是 多 少 ? 

2.2.12 生日 悖 论 : 证 明 在 23 个 人 中 间 ， 至 少 有 两 个 人 生日 相同 的 概率 大 于 1/2 。 

2.2.13(*) 在 本 节 最 后 一 个 命题 的 证 明 过 程 中 ， 如 果 我 们 使 用 简单 的 估计 In( 一 x)<x， 
对 0<x<1， 则 会 得 到 怎样 的 结果 ? 

2.2.14(**) 假设 随机 选择 0 与 1 之 间 的 两 个 实数 ， 则 它们 的 和 大 于 1 的 概率 是 多 少 ? 它 
们 的 乘积 大 于 1/2 的 概率 又 是 多 少 ? 


2.3 ”英文 统计 


对 于 英语 句子 来 说 ， 它 有 什么 样 随 机 字符 流 不 具有 的 特征 呢 ? 又 怎样 用 纯 机 械 式 的 术语 
来 描述 它 昵 ?特别 地 ， 我 们 如 何 能 够 判断 一 个 所 谓 破 译 的 译 码 真 的 是 报 文 昵 ， 还 只 是 乱 语 ? 

在 某 些 情况 下 ， 当 我 们 破译 一 条 消息 时 ， 总 是 尝试 猜测 一 个 符合 实际 的 消息 ， 这 个 消息 
中 己 知 有 一 些 片 语 是 符合 解 译 规则 的 ， 通 过 这 种 方式 以 达到 进一步 的 破解 。 

在 这 种 情况 下 ， 只 要 假定 消息 不 是 乱 语 ， 就 能 够 立即 得 到 很 容易 辨认 的 正确 报 文 。 尤 其 
是 在 计算 机 问世 以 前 的 古典 密码 分 析 学 中 , 对 “部 分 明文 ”内 容 的 分 析 是 一 种 最 基础 的 技术 。 
如 果 消 息 纯 粹 就 是 一 些 乱码 ， 那 么 正确 译文 的 内 容 与 错误 译文 的 内 容 是 不 可 分 辨 的 ， 整 个 破 
译 的 过 程 就 是 无 效 和 没有 意义 的 。 

对 于 那些 假定 前 后 一 致 而 且 “ 有 意义 的 ”明文 来 说 ， 有 一 个 问题 就 是 用 一 种 自动 过 程 来 
从 不 真实 的 信息 中 辨认 出 那些 似是而非 的 信息 。 这 些 事 实 充分 而 准确 地 说 明 英 文句 子 具有 随 
机 字符 流 不 具有 的 特征 。 目 前 我 们 并 不 准备 去 讨论 英文 句子 的 意义 , 而 只 是 研究 它们 的 形式 。 
甚至 我 们 只 是 用 比较 低级 的 统计 方法 来 研究 这 个 问题 。 

因此 ， 我 们 选取 一 些 英文 明文 的 特征 来 大 致 有 两 方面 的 目的 首先， 隐藏 这 些 特征 以 防 
止 敌 方 破坏 我 方 的 密码 系统 。 其 次 ， 这 些 特 征 有 助 于 我 们 破译 敌 方 的 密码 系统 。 在 这 一 部 分 
我 们 只 简单 描述 其 中 一 些 特征 ， 而 将 利用 和 隐蔽 这 些 特征 的 内 容 放 在 以 后 的 部 分 讨论 。 

我 们 使 用 的 主要 技术 是 一 种 启发 式 技术 ， 也 就 是 利用 字母 或 单词 在 英文 经 典 样 本 中 出 现 
的 频率 的 一 种 技术 。 例 如 经 过 简单 的 观察 就 可 以 发 现 字 母 “e” 出 现 的 次 数 比 字 母 “z” 要 多 
得 多 。 由 此 可 以 看 出 ,我 们 假定 英文 文本 就 是 根据 概率 选择 而 得 出 的 字母 序列 ， 那 么 “概率 ” 
所 就 是 字母 “e” 出 现 的 近似 的 比率 ; 

字母 “e” 在 整个 文本 中 出 现 的 次 数 
整个 文本 的 字符 总 数 
类 似 地 ,“ 概 率 ” ,就 是 单词 “the” 在 英文 文本 中 出 现 的 比率 : 
“the” 在 整个 文本 中 出 现 的 次 数 
整个 文本 的 字符 总 数 

因此 ， 假 定 为 了 “计算 ”一 个 字符 是 “e” 的 概率 ， 我 们 可 以 先 统计 在 一 个 大 的 样本 文本 中 字 
母 “e” 出 现 的 次 数 ， 然 后 再 除 以 整个 样本 的 字符 总 数 。 为 了 “计算 ”一 个 单词 是 “the” 的 
概率 ， 我 们 可 以 先 统计 在 一 个 大 的 样本 文本 中 单词 “the” 出 现 的 次 数 ， 然 后 再 除 以 整个 样本 
中 的 单词 总 数 。 

这 种 思想 与 概率 的 极限 频率 概念 〈 前 面 介 绍 过 ) 一 致 ， 它 实际 上 是 一 种 试探 法 ， 因 为 英 
文中 字符 和 单词 的 选择 并 不 是 一 个 随机 的 过 程 。 然 而 ， 在 计算 机 出 现 之 前 ， 在 密码 分 析 中 这 
种 试探 法 被 证 明 是 非常 有 效 的 。 很 明显 , 某 些 字母 出 现 的 次 数 比 其 他 字母 出 现 的 次 数 多 得 多 ， 
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尤其 是 某 几 个 字母 或 短 单词 的 组 合 。 因 此 ， 即 使 从 很 简单 的 概率 试探 法 观点 出 发 ， 英 文 与 字 
母 的 随机 序列 之 间 有 显著 的 差别 。 这 就 是 对 古典 密码 体制 实施 唯 密 文 攻击 的 重要 依据 。 
英文 的 一 些 显著 特征 如 下 : 

短 单词 (small words )。 在 英文 中 只 有 很 少 几 个 非常 短 的 单词 。 因此， 如 果 在 一 个 加 密 的 
文本 中 可 以 确定 单词 的 范围 ， 那 么 就 能 得 出 明显 的 结果 。 一 个 字母 的 单词 只 有 a 和 1。 如 果 
不 计 单 词 的 缩写 ， 在 从 电子 邮件 中 选取 500k 字 节 的 样本 中 ， 只 有 两 个 字母 的 单词 仅 出 现 35 
次 ， 而 2 个 字母 的 所 有 组 合 为 26X26 王 676 种。 而 且 ， 还 是 在 那个 样本 中 ， 只 有 3 个 字母 的 
单词 出 现 196 次 ， 而 3 个 字母 的 所 有 组 合 为 26X26X26=17 576 种 。 

常用 单词 (common words)。 再 次 分 析 500k 字 节 的 样本 ， 总 共有 5000 多 个 不 同 的 单词 
出 现 。 在 这 里 ，9 个 最 常用 的 单词 出 现 的 总 次 数 占 总 单词 数 的 21%，20 个 最 常用 的 单词 出 现 
的 总 次 数 占 总 单词 数 的 30%，104 个 最 常用 的 单词 占 50%，247 个 最 常用 的 单词 占 60%。 本 
节 最 后 列 出 了 一 些 常用 的 单词 及 其 使 用 频率 列表 《以 百分比 的 形式 )。 

空格 (blanks )。 在 普通 的 英文 中 ， 对 “A” 到 “Z” 以 及 空格 (忽略 大 小 写 ) 进行 统计 表 
明 , 空格 是 使 用 次 数 最 多 的 字符 : 大 约 17%~18% 的 字符 是 空格 , 而 其 次 最 常用 的 字符 如 “e”， 
“t”,， “go”,， “a” 和 “i” 等 出 现 的 次 数 均 小 于 9%。 因 此 ， 如 果 将 空格 也 作为 字符 并 加 密 的 话 ， 
这 种 高 使 用 频率 会 泄露 信 息 。 另 一 方面 ,如果 不 对 它们 加 密 ， 那么 将 更 直接 地 泄露 其 他 信息 : 
密码 分 析 者 就 可 以 利用 短 单词 频率 和 字母 频率 统计 信息 。 基 于 这 些 原因 ， 在 “古典 ”密码 系 
统 中 常常 去 除 消息 中 的 空格 。 

字母 频率 《Character frequency)。 在 1M 字 节 伯 的 电子 邮件 文本 (去 掉 所 有 的 数据 头 》 
中 ， 对 字母 “A” 到 “2Z”( 忽 略 大 小 写 ) 分 别 进行 统计 ， 我 们 发 现 近似 频率 (以 百分比 》 

e 1.67 +t 9.53 0o 822 i 78]1 a 773 nm 6.71 s 6.55 

r 5.97 h 4.52 1 4.3 d 3.24 u321 ec 3.06 m 2.8 

p 234 vy 222 f 2.14 g 2.00 w 169 b 1.58 v 1.03 

k 079 x 030 jj 023 q 0.12 z 0.09 

也 就 是 说 ，11.67% 的 字母 为 “e”，9.53% 的 字母 为 “oo” 等 等 ， 直 到 最 后 0.09% 的 字母 为 

“2”。 特 别 地 ， 字 和 母 “e” 出 现 的 次 数 是 字母 “z” 出 现 次 数 的 100 多 倍 ， 而 其 他 字母 的 出 现 
频率 则 居于 两 者 之 间 。 因 此 ， 就 存在 一 个 十 分 显著 的 统计 偏差 ， 也 就 是 说 26 个 字母 并 不 是 
以 相同 的 频率 出 现 ， 而 是 差别 很 大 。 

目前 使 用 这 类 信息 很 容易 被 误导 ， 因 为 即使 是 从 过 滤 的 邮件 中 选择 500 000 字符 也 不 是 
英文 的 随机 样本 。 而 且 更 重要 的 是 ， 有 时 需要 了 解 某 些 与 机 率 相 背 离 的 可 能 性 。 这 种 背离 在 
一 些小 样本 中 很 有 可 能 发 生 。 实 际 上 有 些 人 在 撰写 小 说 时 并 不 使 用 字母 “e”。 

而 且 ， 在 没有 经 过 仔细 检验 的 情况 下 ， 仅 凭借 单个 字符 的 频率 是 不 是 与 已 有 的 统计 结 寺 果 

， 而 断定 一 个 字符 流 是 英文 ， 这 种 判断 的 合理 性 到 底 怎么 样 还 不 是 很 明确 。 从 另 一 方面 
来 说 我 们 根本 不 清楚 英文 与 非 英文 字符 流 的 频率 有 什么 区 别 。 一 种 更 严格 、 更 合理 的 统计 
研究 将 考虑 计数 样本 大 小 及 其 他 因素 。 

双 字 母 是 两 个 相 邻 字母 的 组 合 。 共 有 26X26 三 676 种 不 同 的 双 字 母 ， 一 个 字符 流 中 双 字 
母 的 出 现 可 以 比 单个 字符 的 频率 提供 更 多 的 信息 。 实 际 上 ， 字 母 表 上 每 个 字母 在 许多 单词 中 
都 会 出 现 ， 而 双 字 母 则 不 一定 。 我 们 可 以 讨论 双 字母 ， 包 括 空格 在 内 的 双 字母 等 在 单词 界 上 
出 现 情 况 。 
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同样 在 从 电子 邮件 〈 去 除数 据 头 ) 中 选取 的 大 小 为 500k 字 节 的 样本 中 ， 保 留 其 中 的 空 
格 ， 在 676 种 双 字 母 组 合 中 的 只 有 611 种 双 字 母 出 现 。( 如 果 去 除 空格 ， 那 么 在 676 种 组 合 
中 的 有 659 种 双 字 母 出 现 。) 前 44 种 双 字 母 组 合 占 总 数 的 50% 以 上 ， 前 102 种 占 75% ， 前 
175 种 占 90% ， 前 359 种 占 98%。 最 常用 的 双 字 母 组 合 表 在 本 节 最 后 部 分 给 出 。 

三 字母 是 指 相 邻 的 三 个 字符 组 合 。 共 有 26X26X26 王 17576 种 可 能 的 三 字母 组 合 ， 相 对 
来 讲 ， 经 常 出 现 的 三 字母 组 合 很 少 。 在 1M 字 节 过 滤 后 的 邮件 样本 中 ， 只 观察 英文 单词 中 出 
现 的 三 字母 组 ， 前 241 种 组 合 就 已 占 所 有 三 字母 组 的 50%。 极端 情况 是 : 不 到 总 数 1/70 的 三 
字母 组 占 所 有 出 现 的 三 字母 组 的 50%! 前 652 种 组 合 占 75% ， 前 1271 种 组 合 占 90%， 而 前 
2520 种 组 合 占 所 有 出 现 的 三 字母 组 的 98% 。 如 果 去 除 空格 ， 前 430 种 组 合 占 50%， 前 1162 
种 占 75%， 前 2314 种 占 90% ， 而 前 4408 种 占 98% 。 最 常用 的 三 字母 组 合 表 在 本 节 最 后 部 
分 给 出 。 

这 里 有 个 需要 注意 的 地 方 。 首 先 ， 正 如 观测 单个 字符 出 现 的 频率 一 样 ， 英 文 文本 的 字符 
流 并 不 完全 是 随机 的 : 有 些 字母 永远 比 其 他 字母 出 现 的 次 数 要 多 得 多 。 其 次 ， 有 些 相 邻 二 元 
字符 组 合 〈 双 字母 ) 出 现 的 次 数 也 比 其 他 的 要 多 得 多 。 类 似 地 ， 相 邻 三 元 字符 组 合 〈 三 字母 ) 
也 一 样 。 一 方面 ， 这 种 低级 的 统计 偏差 可 以 运用 到 密码 分 析 中 。 另 一 方面 ， 在 安全 的 密码 体 
制 中 就 必须 掩盖 。 

作为 一 个 特定 的 统计 特征 ， 空 格 出 现 的 频率 是 任何 其 他 字符 的 二 倍 。 既 然 在 去 除 空 格 之 
后 ， 消 息 还 能 够 清楚 地 辨认 ， 那 么 在 很 多 场合 ， 加 密 之 前 就 应 将 空格 去 除 。 要 不 然 这 些 被 去 
除 的 信息 就 可 能 被 密码 分 析 者 利用 。 例 如 ， 在 进行 双 字 母 和 三 字母 组 合 统计 时 表明 ， 如 果 单 
词 界限 明确 ， 统 计 偏差 显著 不 同 ， 这 与 去 除 单词 界限 的 情况 形成 了 明显 的 对 比 。 

余下 的 癌 题 就 是 如 何 系 统 《 有 效 ) 地 利用 这 些 信息 。 后 面 将 给 出 一 些 简单 的 例子 。 

样本 中 100 个 最 常用 的 单词 占 单词 总 数 的 百分比 为 : 





the 4.65 to 3.02 of 2.61 i 2.2 a 1.95 
and 1.82 is 1.68 that 1.62 in 1.57 ” it 1.22 
for 1.17 you 1.06 be 0.99 not 0.84 on 0.76 
have 0.71 this 0.69 as 0.57 at 0.56 would 0.55 
are 0.55 but 0.54 if 0.53 my 0.53 with 0.5 
your 0.48 so 0.48 or 0.46 some 0.43 will 0.41 
do 0.39 about 0.39 me 0.38 from 0.35 by 0.33 
no 0.33 more 0.33 what 0.32 an 0.32 there 0.32 
one 0.32 all 0.32 was 0.30 we 0.30 just 0.27 
which 0.27 can 0.26 very 0.25 series 0.25 am 0.24 
things 0.24 people 0.24 get 0.23 hi 0.23 time 0.22 
think 0.22 course 0.22 etc 0.22 also 0.21 any 0.21 
other 0.20 than 0.2 know 0.19 could 0.19 they 0.19 
too 0.19 only 0.18 up 0.18 good 0.18 out 0.18 
has 0.17 such 0.17 had 0.16 should 0.16 now 0.16 


dont 0.16 like 0.15 its 0.15 want 0.15 well 0.15 
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th 
at 
is 


here 
make 
how 
yours 
when 
case 
email 
work 
two 


3.18 
1.54 
1.18 
1.03 
0.85 
0.70 
0.64 
0.59 
0.52 
0.47 
0.42 


0.14 
0.14 
0.12 
0.12 
0.11 
0.11 
0.10 
0.10 


might 
thanks 
really 
see 
paper 
since 
stuff 
please 


0.10 university 

注意 ， 有 些 单词 可 能 会 达到 列表 中 “高 频率 ” 段 。 例 如 ， 如 果 样 本 不 是 从 大 学 教授 的 信 
件 中 得 来 的 话 ，“university”“number” 和 和 “students” 这 几 个 单词 的 频率 很 可 能 就 是 另 一 回 
事 了 。 如 果 类 似 信件 被 过 泪 掉 的 话 ， 这 种 偏差 在 科技 词汇 统计 时 更 加 明显 。 一 方面 ， 我 们 希 
望 得 到 更 为 通用 的 统计 结果 。 另 一 方面 ， 任 何 有 关 敌 方 的 特殊 信息 都 有 潜在 的 用 途 。 


in 
ou 
ti 
st 
of 
ri 


2.59 
1.43 
1.17 
1.01 
0.84 
0.68 
0.62 
0.58 
0.50 
0.45 
0.42 


he 


or 


ac 


0.14 
0.14 
0.12 
0.12 
0.11 
0.11 
0.10 
0.10 
0.09 


2.17 
1.26 
1.16 
0.98 
0.78 
0.67 
0.62 
0.54 
0.50 
0.45 
0.41 


who 0.14. 
much 0.13 
he 0.12 
been 0.12 
even 0.11 


whi 


le 0.11 


seems 0.10 


online 0.10 
little 0.09 


1.95 
1.26 
1.13 
0.91 
0.74 
0.67 
0.62 
0.53 
0.50 
0.45 
0.41 


使 用 频率 最 高 的 77 种 双 字 母 组 合 (含有 空格 ): 


3.15 
1.69 
1.08 
0.92 
0.79 
0.71 
0.62 
0.57 
0.48 
0.44 
0.42 


ft 
he 


2.55 
1.44 
1.05 
0.92 
0.78 
0.70 
0.60 
0.57 
0.48 
0.44 
0.41 


th 


er 


TO 


ra 


2.11 
1.29 
1.04 
0.84 
0.77 
0.69 
0.60 
0.56 
0.47 
0.44 
0.41 


1.97 
1.24 
1.03 
0.83 
0.75 
0.67 
0.60 
0.55 
0.46 
0.44 
0.41 


may 
thing 


students 


样本 中 前 77 种 双 字 母 组 合 在 单词 中 出 现 的 百分比 : 


re 
ha 


were 
Our 
use 
them 
into 
page 


1.85 
1.24 
1.09 
0.90 
0.73 
0.66 
0.62 
0.53 
0.49 
0.44 
0.41 


1.93 
1.23 
1.03 
0.83 
0.72 
0.67 
0.59 
0.52 
0.45 
0.42 
0.41 


0.14 
0.13 
0.12 
0.12 
0.11 


0.1 


0.10 
0.10 
0.09 


then 
did 
maybe 


区 


和 2 


rather 


still 
ill 
book 
does 


number 


1.63 
1.22 
1.08 
0.90 
0.72 
0.64 
0.61 
0.53 
0.49 
0.44 
0.41 


ur 


SO 


1.81 
1.18 
0.99 
0.81 
0.72 
0.65 
0.59 
0.51 
0.45 
0.42 
0.41 


0.14 
0.13 
0.12 
0.11 
0.11 
0.10 
0.10 
0.10 
0.09 
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前 77 种 双 字 母 组 合 (去 除 空格 ): 
th 2.63 in 2.08 he 1.75 er 1.67 re 1.52 on 1.33 es 1.32 
an 1.29 at 1.28 ti 1.26 nt 1.16 ou 1.16 to 1.13 st 1.12 
ha 1.05 or 1.05 et 1.03 en 1.01 te 1.01 is 0.98 it 0.97 
ea 0.93 se 0.90 al 0.89 ng 0.89 nd 0.81 ed 0.76 hi 0.75 
le 0.75 ar 0.74 si 0.73 me 0.73 so 0.71 of 0.70 ve 0.68 
ri 0.64 as 0.64 om 0.64 ra 0.61 no 0.61 ne 0.60 co 0.60 
ro 0.59 ll 0.59 ta 0.58 ic 0.57 ot 0.57 tt 0.57 li 0.57 
yo 0.52 ur 0.51 ec 0.51 io 0.51 de 0.51 di 0.51 ma 0.51 
ei 0.49 be 0.49 sa 0.47 ss 0.47 el 0.46 em 0.46 rs 0.45 
fo 0.44 ut 0.44 ly 0.44 nt 0.43 ca 0.42 pr 0.42 na 0.42 
ts 0.41 ho 0.41 il 0.41 pe 0.40 ch 0.40 U 0.38 ee 0.38 
英文 单词 中 最 常用 的 77 种 三 字母 组 合 的 百分比 ; 
the 2.44 ing 1.26 and 0.82 hat 0.78 tha 0.77 ion 0.75 you 0.67 
ent 0.66 for 0.63 tio 0.63 thi 0.60 her 0.51 ati 0.47 -our 0.47 
ere 0.45 all 0.43 ter 0.43 ver 0.40 not 0.40 hin 0.40 ome 0.36 
oul 0.36 uld 0.36 int 0.34 rea 0.34 pro 0.34 res 0.33 ate 0.33 
hav 0.30 ave 0.30 il 0.30 his 0.30 com 0.30 ons 0.30 are 0.28 
ple 0.28 ers 0.28 con 0.27 ess 0.27 out 0.27 one 0.26 ith 0.25 
som 0.25 ive 0.25 tin 0.25 nce 0.24 ble 0.24 ted 0.24 han 0.23 
ine 0.23 per 0.23 ect 0.23 nte 0.23 wit 0.22 men 0.22 but 0.22 
wou 0.21 ica 0.21 eve 0.21 cal 0.21 pre 0.21 cou 0.21 lin 0.21 
est 0.20 eri 0.20 mor 0.20 ser 0.20 ore 0.19 any 0.19 abl 0.19 
tic 0.19 urs 0.19 ant 0.19 sti 0.18 ear 0.18 hou 0.18 ies 0.18 
最 常用 的 77 种 三 字母 组 合 ( 仿 空格): 
_th 1.67 the 1.22 he 0.80 ing 0.63 to 0.62 to 05 ng 0.52 
_an 0.50 in 0.49 of 0.49 at 0.45 is 0.44 of 0.44 et 0.43 
on 0.43 er 042 nd 042 and 0.41 ed 040 es 0.39 hat 0.39 
tha 0.38 ion 037 re 0.37 i 036 co 0.35 or 0.33 tt 0.33 
you 0.33 ea 033 ent 033 in 0.33 is 032 ei 0.32 for 0.31 
_yo 0.31 tio 0.31 a 0.31 thi 0.30 be 030 jy 030 sa 0.29 
_re 0.29 no 0.28 nt 0.27 ti 027 fo 0.27 _it 0.27 st 0.26 
ha 0.26 es 026 le 026 on 0.25 it 0.25 her 0,25 ll 0.23 
me 0.25 so 024 nt 024 wh 0.23 ati 0.23 our 023 ve 0.23 
_se 022 si 022 ut 0.22 ere 0.22 all 0.21 al 021 ter 0.21 
st 0.21 dt 021 pr 0.21 Se 0.20 ver 0.20 not 0.20 wi 0.20 
最 常用 的 77 种 三 字母 组 合 (去 除 空格 ) 


the 149 ing 0.77 tha 0.52 and 0.50 hat 0.47 ion 0.45 ent 0.43 
you 0.41 thi 0.38 for 0.38 ati 0.38 tio 0.38 her 0.35 ere 0.35 
eth 0.34 int 0.32 our 0.28 tth 0.27 all 0.27 rea 0.26 ter 0.26 
nth 0.26 ome 0.25 hin 0.25 ver 0.25 not 0.24 res 0.23 est 0.22 
oul 0.22 ont 0.22 ate 0.21 uld 0.21 ers 0.21 tin 0.21 oth 0.20 
pro 0.20 sth 0.20 ons 0.20 his .0.19 ith 0.19 ave 0.19 eri 0.19 
sin 0.19 ess 0.18 are 0.18 hav 0.18 ist 0.18 ill 0,18 out 0.18 
com 0.18 rth 0.18 ese 0.17 ore 0.17 ple 0.17 con 0.17 one 0.16 
att 0.16 iti 0.16 ert 0.10 ica 0.16 en 0.16 eto 0.16 som 0.16 
han 0.1S of 0.15 nte 0.15 ine 0.15 sto 0.15 ted 0.15 ive 0.15 
ear 0.15 fth 0.15 nce 0.15 ret 0.14 ngt 0.14 ble 0.14 lin 0.14 


2.3.01 假设 一 个 给 定 的 英文 字母 真正 是 “e” 的 概率 为 0.1167， 则 在 一 个 有 10 个 单词 的 
随机 文本 中 没有 字母 “e” 的 概率 为 多 少 ? 在 100 个 随机 字符 中 没有 “e” 的 概率 又 是 多 少 ? 

2.3.02 假设 一 个 给 定 的 英文 单词 真正 是 “the” 的 概率 为 0.0465， 则 在 一 个 有 10 个 单词 
的 随机 文本 中 没有 单词 “the” 的 概率 为 多 少 ? 在 100 个 单词 的 随机 文本 中 没有 “the” 的 概率 
又 是 多 少 ? | 

2.3.03 假设 有 一 种 语言 ， 它 仅 使 用 两 个 字符 “0” 和 “1”。 假 设 在 一 般 情况 下 ,“0” 在 
该 语言 中 出 现 的 概率 是 1/3， 而 “1” 出 现 的 概率 则 是 2/3 。 那 么 在 该 语言 的 一 个 长 为 N 的 随 
机 字符 流 中 ， 有 /2 个 或 者 少 于 N12 个 “1” 的 概率 为 多 少 ? 分 别 考虑 入 =3,6,9,12 的 情况 。 


2.4 对 仿 射 密码 的 攻击 


根据 字符 、 单 词 、 双 字母 组 合 等 频率 的 相关 信息 ， 我 们 就 能 给 出 一 种 对 仿 射 密码 的 唯 密 
文 攻击 方法 ， 而 这 种 方式 比 党 试 所 有 可 能 密 钥 的 穷 举 法 攻击 效果 要 好 得 多 。 
例如 ， 假 定 有 如 下 加 密 的 文本 : 
JFFGJFDMGFSJHYQHTAGHQGAFDCCFP 
我 们 的 目的 就 是 找 出 密 钥 (a,5) 使 得 : 
Es( 明 文 ) =JFFGJFDMGFSJHYQHTAGHQGAFDCCFP 
由 于 已 经 去 除了 所 有 的 空格 , 我 们 就 不 能 直接 利用 短 单词 频率 然而 , 统计 单个 字母 百分比 : 
F - 20.68 
13.79 
10.34 
10.34 
6.89 
6.89 
6.89 
6.89 


DOP>O 和 -IA 


了 3.44 
S 3.44 
工 3.44 
Y 3.44 
M 3.44 


这 就 使 得 我 们 认为 ， 字 母 “F” 就 是 字母 “e” 加 密 后 的 结果 ， 因 为 ,“e” 在 英文 中 是 最 为 常 
用 的 字母 而 “上 F” 密 文中 是 最 为 普遍 的 字母 。 而 且 在 英文 第 二 个 常用 的 字母 是 “t”， 而 这 段 在 
密 文中 频率 处 于 第 二 位 的 字母 是 “G”， 于 是 就 可 以 猜测 “G” 是 “t” 加 密 后 的 结果 。 为 了 评 
估 猜 测 结果 的 质量 ， 我 们 必须 首先 确定 密 钥 (wb) ， 因 此 就 有 


了 6 (e) 一 F Es s(t) 一 G 





由 前 面 介绍 过 的 字母 编码 规则 ,“e” 的 编码 为 4,“F” 为 5,“t” 为 19,“G” 为 6。 因 此 就 
有 : 
(a:4+b)%26=5 
(a:19+65)%26=6 
那么 由 以 前 对 仿 射 密码 选择 明文 攻击 的 讨论 ， 就 有 《两 式 相 减 
a.(19-4)%26=6-5=1 
也 即 : 
15.a%26=1 
我 们 发 现 《〈 通 过 穷 举 法 或 其 他 方式 ) 15 模 26 的 乘法 逆 元 是 7， 于 是 a = 7 就 是 我 们 通过 猜测 
计算 出 的 结果 ， 再 将 它 代 入 等 式 
(a:4+b)%26=5 
代入 a =7， 就 可 得 出 : 
(7:4+b)%26=5 
这 也 就 是 2+5=5， 于 是 (猜测 ) b=3。 
也 就 是 说 ， 基 于 频率 猜测 出 密 钥 是 (7,3)。 假 如 这 样 的 话 ， 一 般 的 加 密 公 式 的 逆 则 为 
Es 一 En -alb 
a 1! 表示 a 关于 模 26 的 乘法 逆 元 。 我们 已 有 15.7%26 =1 的 结果 , 因此 15 就 是 7 的 模 26 的 乘 
法 道 元 。 于 是 有 如 下 计算 ; 
~—7 .3%26= -15.3%026 = -45%26 = 7 
因此 ， 书 ; 的 道 就 是 轧 *， 。 在 密 文中 应 用 书 *， 就 可 以 恢复 明文 : 
Es 〈JFFGJFDMGFSJHYQHTAGHQGAFDCCFP) 
一 meetmeaftermidnightinthealley 
这 很 容易 就 分 解 成 meet me after midnight in the alley。 庆 幸 的 是 我 们 第 一 次 猜测 是 正确 的 。 
注意 ， 在 这 个 唯 密 文 攻击 的 试验 中 ， 我 们 运用 频率 分 析 得 出 的 明文 比较 容易 接近 于 正确 
的 明文 。 如 果 缺 少 一 点 运气 的 话 ， 我 们 不 得 不 重新 猜测 并 决定 密 铀 ， 然 后 解密 并 判断 结果 是 
否 合理 。 


习题 
2.4.01 解密 由 仿 射 密码 加 密 的 密 文 “VCLLCP BKLC LJKX XCHCP”。 


2.4.02 解密 由 仿 射 密码 加 密 的 密 文 “LBBKL BJMKB QLTQW TXIKT WKIBJ AABN”。 
2.4.03 解密 如 下 密 文 “DBUHU SPANO SMPUS STMIU SBAKN OSMPU SS ”。 





一 些 古 典 密码 在 重要 应 用 上 存在 不 足 ， 但 其 使 用 的 思想 在 现代 密码 学 中 还 有 应 用 ， 比 如 

代替 〈substitution) 和 换 位 密码 〈transposition cipher)。 代 替 密 码 也 就 是 众所周知 的 暗号 
(cryptograms)， 换 位 密码 也 叫 变 位 字 (anagrams ) 。 

这 两 种 密码 的 基本 机 制 都 是 反复 移动 ， 代 替 密 码 在 字母 表 范 围 内 移动 字母 ， 换 位 密码 在 
消息 内 变换 字母 的 位 置 。 从 数学 的 角度 讲 ， 对 一 个 集合 的 元 素 进行 移动 就 是 对 该 集合 的 一 个 
置换 permutation )。 置 换 可 以 进行 分 析 ， 并 有 易 理 解 的 内 部 结构 ， 我 们 看 一 些 洗 牌 和 其 他 确 
定 存在 的 混合 的 例子 ， 多 少 会 感觉 到 些 惊 异 。 

顺 读 和 倒 读 一 样 的 短语 ， 即 回 文 (palindrome) 结构 是 一 个 不 直接 与 密码 相关 的 挑战 性 
娱乐 。 比 较 简 单 的 有 “A man, a plan, a canal, Panama ”， 还 有 拿破仑 的 “Able was I ere LI saw 
Elba”。 再 早 一 些 的 是 彼得 .希尔顿 1943 年 在 Bletchley 公园 说 的 “Doc, note, I dissent, a fast 
never prevents a fatness. I diet on cod "。 


3.1 暗号; 代替 


无 论 暗号 还 是 单 表 代 替 密码 (monoalphabetic substitution ciphers) 都 是 经 常 出 现在 日 报 中 
作为 迷 题 的 密码 ， 从 每 天 有 数 以 百 万 计 的 人 破解 了 这 些 难 题 的 事实 可 以 判断 出 ， 代 替 密码 是 
不 安全 的 。 这 种 观点 是 正确 的 ， 正 如 一 事实 所 阐述 ， 大 的 密 钥 空间 本 身 不 提供 安全 保障 。 移 
位 密码 (shift cipher) 和 仿 射 密码 (affine cipher) 正 是 单 表 代替 密码 的 特例 。 因 此 当 我 们 看 
到 代替 密码 被 破译 时 ， 在 某 种 意义 上 也 就 是 特例 被 破译 了 。 

此 外 ， 单 表 代 车 密码 是 以 字母 表 中 每 个 字母 每 次 在 明文 (“单一 字母 密码 ”) 中 出 现时 都 
以 同样 方法 加 密 而 命名 ， 并 且 明 文字 母 的 加 密 形式 与 明文 字母 的 位 置 相 同 (“代替 密码 ”)。 

如 果 你 不 很 熟悉 代替 密码 ， 以 下 将 做 介绍 。 密 钥 是 字母 表 的 任意 组 合 ， 当 然 我 们 需要 描 
述 和 记忆 这 种 组 合 的 方法 。 一 般 我 们 可 以 给 出 一 个 明 密 对 应 表 : 

abecde f gh…x y z 

C E A TX H BR…D SU 
第 一 行 行 给 出 明文 字母 ， 每 个 明文 字母 下 面 对 应 的 是 它 加 密 的 密 文 字母 。 例 如 ，a 加 密 为 C， 
b 加 密 为 E，c 加 密 为 A 的 情况 等 等 。 为 记 住 密 钥 ， 协 商 一 段 英文 隐秘 句子 ， 例 如 
ASTITCHINTIMESAVESNINE 
然后 删除 重复 的 字母 《也 包括 空格 和 标点 符号 ) 
ASTICHNMEYV 

在 后 面 青 补充 上 句子 中 没有 用 到 的 字母 : 

ASTICHNMEVBDFGJKLOPQRUWXYZ 
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这 就 做 成 了 一 个 加 密 表 : 

a bcde fg h i jk | m no pyrngr s t u vy w x y z 
ASTIC HNMEYVBD FG J KLOPOQORUW XY7 
当然 ， 由 于 在 快速 解密 时 查找 下 面 一 行 不 是 很 方便 ， 所 以 做 一 个 单独 的 解密 表 是 比较 明智 的 
选择 。 

举 个 例子 ， 我 们 用 这 个 密 钥 来 加 密 如 下 明文 : 

“The history of the National Security Agency is shrouded in secrecy. Even its budget is 
classified.” 

对 应 密 文 为 : 

“QMC MEPQJOY JH QMC GAQEJGAD PCTROEQY ANCGTY EP PMOJRICIEG 
PCTOCTY CUCG EQP SRINCQ EP TDAPPEHECI.” 

对 单 表 代替 密码 最 有 效 的 攻击 是 利用 自然 诸 言 的 使 用 频率 : 单字 母 , 双 字 母 组 /三 字母 组 ， 
短语 ， 词 头 /词尾 等 ， 这 里 仪 考虑 英文 的 情况 ， 我 们 利用 单字 母 使 用 频率 的 经 验 和 公共 英语 单 
词 的 知识 。 最 常用 的 单字 母 英文 是 e 和 t， 其 他 的 字母 使 用 频率 相对 来 说 就 小 得 多 。 

这 样 ， 攻 击 - -个 密码 ， 首 先 统计 密 文 中 最 常 出 现 的 字母 ， 例 如 在 密 文 
QCIV XY KEO JLYYW JBRO XN KEO JKGOOK.TOK SO KX KEO AELGAE XY KBSO.KEO 
NBJE CGO MLSDBYT CYR KEO AXKKXY BJ EBTE.XLG JKCKO NCBG BJ KEO HOJK 
JKCKO NCBG. 

中 ， 按 照 它们 的 出 现 频 率 的 排列 次 序 为 ， 
K-15, O-13, E-9, B-7, J-7, C-6, X-6, Y-6,G-5,L-3, N-3, A-2, 
S$-2, T-2,R-2, 而 D、H、I、M、Q、V、W 则 出 现 的 很 少 。 

这 样 ， 我 们 可 以 设想 “K” 是 “e” 或 “t”,“O” 是 两 个 中 的 另 一 个 。 首 先 假定 K=e 并 且 
O=t， 得 到 (一部分) 

QCIV XY eEtJLYYW JBRt XN eFt JeGtte. Tte St eX eEtAELGAE XY，… 

“Tte” 在 第 二 个 句子 里 立刻 出 现 了 问题 ， 似 乎 任何 一 个 字母 替代 “T?” 所 形成 的 词 来 引 
导 一 个 句子 都 是 不 可 能 的 。 因 此 ， 改 试 K=t 并且 O=e: 

QCIV XY tEe JLYYW JBRe XN tEe HGeet.Tet Se tx tEe AELGAE XY tBSe.tEe NBJE CGe 
MLSDBYT CYR tEe AXttXY BJ EBTE.XLG JtCte NCBG BJ tEe Helt JtCte NCBG 

由 “tEe” 猜 想 E-h,“ 人 多” 猜想 X=o， 而 “XY” 猜 想 Y=n。 这 就 得 到 

QCIV on the JLnnW JBRe oN the JtGeet.Tet Se to the AhLGAh on tBSe. the NBJh CGe 
MLSDBnT CnR the Aotton BJ hBTh. oLG jtCte NCBG BJ the Hejt JtCte NCBG 

“Tet Se to the ”猜想 “get me to the”， 有 T=g 并 且 S=m。“JtGeet” 可 能 是 “street”， 因 
此 J=s，G=r: 

QCIV on the sLnnW sBRe oN the street. get me to the AhLrAh on tBme. the NBsh Cre 
MLmDBng CnR the Aotton Bs hBgh. oLr stCte NCBr Bs the Hest stCte NCBr. 

”由 “MLmDBng” 的 结尾 和 “Bs hBgh”， 猜 想 B=i。 由 “oLr” 想 到 L=u。 重 新 整理 : 

QCIV on the sunnW siRe oN the street. get me to the AhurAh on time. the Nish Cre 
MumDing CnR the Aotton is high. our stCte NCir is the Hest stCte NCir. 

那么 “sunnW siRe oN” 猜 想 W=y，R=d，N=f 
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QCIV on the sunny side of the street. get me to the AhurAh on time. the fish Cre MumDing Cnd 
the Aotton is high. our stCte fCir is the Hest stCte fCir. 

由 “Cre MumDing” 想 到 C=a,“the Hest” 想 到 H 是 b。 并 且 由 单词 “AhurAh” 想 到 A=c， 

“Aotton” 想 到 A=c。 到 这 里 , 剩 下 的 明文 字母 不 多 了 , 因为 “b” 已 经 存在 , 所 以 “MumDing” 

不 能 是 M=b。 经 过 反复 几 次 试验 后 ， 我 们 可 以 认定 M=j，D=p， 现 在 得 到 : 
QalV on the sunny side of the street. get me to the church on time. the fish are jumping and the 
cotton is high. our state fair is the best state fair, 
通过 观察 单字 母 频 率 得 到 的 一 点 提示 ， 再 反复 试验 ， 密 文 就 能 够 被 破译 。 

如 果 保 留 了 单词 的 边界 ， 那 么 破译 这 样 的 密码 就 特别 容易 ， 这 也 是 因为 单词 边界 的 保留 
就 可 以 使 解密 者 充分 利用 短 单词 的 信息 。 流 行 报纸 上 的 密语 几乎 都 保留 单词 边界 ， 和 否则 破译 
这 样 一 个 密 文 是 相当 困难 的 。 尽 管 如 此 ， 对 于 足够 大 量 的 消息 ， 使 用 英文 字母 的 统计 特征 ， 
破译 单 表 代替 密码 是 可 行 的 。 

顺便 说 一 下 ， 密 钥 空 间 是 巨大 的 ， 加 密 a 有 26 种 选择 ， 剩 下 25 种 选择 加 密 b，24 种 选 
择 加 密 c， 依 此 类 推 ， 这 样 就 有 

20.23.24. … :5.4.3.2.1=403 291 461 126 605 635 584 000 000 
种 不 同 的 密 钥 。 如 果 解 读 一 个 暗号 真 需要 判断 这 么 多 种 可 能 性 的 话 ， 仅 仅 依靠 笔 纸 没 有 人 能 
够 做 出 来 。 对 密 钥 空间 的 清晰 考虑 很 容易 被 错误 地 理解 为 : 太 小 的 密 钥 空 间 不 好 ， 但 是 大 的 
密 钥 空间 自身 也 不 能 保证 安全 。 


习题 


3.1.01 破译 密 文 “PBIYGR GRQQRO KORNSRIEBRP CGJIR JKQRI IRCOGX PSKKBER 
QJ VREOXMQ PSLPQCIQBCG RIYGBPA PRIQRIERP, CGQAJSYA FRRMBIY UJOV 
LORCFP BI HCFRP CI RIJOHJSP VBKKRORIER.” 其 间隔 是 英文 单词 间 真 正 的 间隔 。 

3.1.02 破译 密 文 “UHNDJST NO P MTFPQNVTFY HTW NSTP RIM THDJSNHI FPMITM 
PFKAPETQO PHS NSTJIMPKAND OYOQTGO EY UONHI QWJ EYQTO KT™ 
DAPMPDQTM.” 其 间隔 是 英文 单词 间 真 正 的 间隔 。 

3.1.03 破译 密 文 “EPKH RTD RTDKPDH BUQR MPKVDJ RTD PCRIK KE MPIHIRIVD 
PKKRQ RK CGG DGDHDJRQ IQ HKQR KERDJ CLKVD KJD OUCPRDP ”其 间隔 是 英文 单 
词 间 真 正 的 间隔 。 

3.1.04 破译 密 文 “KOS UVXW YFD YMY CFK VUUFQ KOS HNMRA EIFQC LFT KF 
ZNBG FPSI MK, QOMRO VUUFQJ BNRO QIMKMCD QMKOFNK NIMCD KOS BFJK 
RFBBFC ROVIVRKSI NCKMU ZNJK CFQ.” 其 间隔 是 英文 单词 间 真 正 的 间隔 。 


3.2 变 位 字 : 换 位 

简单 换 位 密码 或 变 位 字 都 是 单个 字符 不 变 而 位 置 改 变 的 密码 。 也 就 是 说 ， 密 文 是 由 明文 
适当 地 混 序 产生 。 自 身 混 序 的 过 程 就 是 换 位 和 变 位 ， 一 段 有 意义 的 短语 有 意 重 新 安排 称 作 原 
文 的 变 位 。 当 然 许多 人 在 使 用 规则 的 基础 上 解决 了 变 位 字 难 题 ， 这 说 明 换 位 密码 的 确 是 不 安 
全 。 

例如 ， 通 过 将 文本 简单 翻转 的 密 钥 加 密 如 下 明文 
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执行 同样 的 逆 过 程 即 可 解密 。 一 个 不 知道 的 人 可 能 无 法 理解 它 ， 但 是 这 里 的 秘密 是 一 个 
过 于 简单 的 事情 ， 一 旦 被 发 现 ， 密 码 也 就 被 破译 了 。 一 段 顺 读 和 倒 读 都 有 意义 的 句子 称 作 回 
文 。 但 是 如 果 我 们 给 出 大 量 杂乱 无 章 的 字母 ， 比 如 

MOPOOMSEHCWEELNEA (来 源 于 “please come home now”) 

无 论 采 用 哪 种 变换 都 不 能 从 英文 中 得 到 它 的 任何 信息 ， 有 许多 种 方法 可 以 将 其 重新 整理 
为 有 意义 的 英文 ， 与 其 他 类 型 的 密码 相 比 ， 不 管 消息 的 长 度 是 多 少 ， 这 都 是 正确 的 。 多 种 破 
解 的 问题 (在 密码 分 析 攻 击 方面 ) 对 于 某 些 短 单词 是 非常 明显 的 ， 比 如 “ant” 和 “tan” 是 变 
位 字 ， 还 有 “keep” 和 “peek”，“live”、“evil” 和 “vile” 等 等 。 

变 位 就 是 重新 整理 自然 语言 短语 ， 使 之 成 为 完全 不 同 但 仍 有 意义 的 相同 或 另外 一 种 自然 
语言 的 游戏 事实 上 ， 当 用 换 位 密码 加 密 一 个 简单 消息 时 ， 产 生 的 消息 块 的 长 度 至 少 同 原 消 
息 长 度 相同 ， 这 是 一 种 可 能 使 唯 密 文 攻击 得 出 许多 种 不 同 破解 结果 的 方法 ， 这 种 可 能 性 随 着 
消息 长 度 的 增长 而 增 大 而 不 是 减 小 。 然 而 ， 如 果 多 次 使 用 一 个 特殊 的 换 位 加 密 方案 ， 下 面 的 
多 重 变 位 将 提供 一 种 确切 的 唯 密 文 攻 击 ， 这 在 某 种 程度 上 同一 次 一 密 的 性 质 是 类 似 的 ， 同 样 
会 因为 多 次 重复 使 用 而 受到 攻击 。 - 

分 组 换 位 密码 针对 固定 大 小 的 分 组 字符 操作 ， 在 每 个 块 中 对 字母 进行 混合 。 在 某 种 程度 
上 ， 对 所 有 的 分 组 都 是 相同 的 。 解 密 就 是 把 混合 过 程 逆向 执行 。 例 如 ， 我 们 可 以 编制 一 个 用 
每 个 n 字 节 长 的 分 组 苏 倒 字符 的 换 位 密码 。 把 一 条 消息 分 为 n 字 符 长 的 多 条 ， 末 尾 剩 下 的 分 
组 用 任意 的 字符 填充 为 n 字 符 长 ， 同 其 他 的 分 组 同样 进行 处 理 。 举 例 来 说 ， 当 n=2 时 ， 在 消 
息 中 第 25 和 第 2k+1 个 字符 是 互 换 的 ， 这 是 一 个 特例 。 比 如 将 如 下 明文 

The rain in spain fails mainily in the plain 
转换 成 密 文 
HT EARNIINPSIA NAFLL SAMNIYLINHT ELPIAXN 

当然 ， 这 看 起 来 杂乱 无 章 ， 但 是 知道 了 技巧 ， 甚 至 通过 观察 就 可 以 很 容易 的 解密 。 

当 旧 的 换 位 被 发 现时 ， 为 改变 密 钥 ， 如 何 能 够 区 分 出 混乱 的 明文 呢 ? 如 何 很 细致 的 做 到 
这 点 ， 并 非 显而易见 。 这 个 问题 的 困难 性 又 一 次 表明 ， 指 定 一 类 加 密 过 程 的 问题 可 以 通过 依 
赖 一 个 密 钥 的 方式 来 简单 地 实现 。 但 是 ， 我 们 可 以 适当 地 忽略 按照 密 钥 的 方式 来 描述 换 位 这 
个 问题 ， 而 只 是 去 了 解 如 何 实现 和 如 何 攻 击 换 位 密码 。 

备注 ”如 上 所 述 ， 当 对 英文 这 样 的 自然 语言 加 密 时 ， 如 果 简单 代替 密码 的 分 组 小 于 报 文 
长 度 的 一 半 ， 则 这 样 的 密码 是 很 容易 被 破译 的 。 此 外 ， 使 用 相同 的 密码 加 密 多 条 消息 同样 是 
易 受 攻击 的 。 尽 管 如 此 ， 换 位 仍 是 许多 安全 的 现代 密码 的 重要 组 成 部 分 。 

针对 这 些 简单 换 位 密码 的 基本 唯 密 文 攻击 ， 就 是 试图 最 大 程度 地 利用 常用 双 字 母 组 的 连 
接 关 系 ， 这 意味 着 需要 计算 排列 ， 使 得 不 可 能 或 者 不 可 靠 的 双 字 母 组 的 数量 最 小 化 ， 并 且 使 
常用 双 字 母 组 的 数量 最 大 化 。 这 种 方法 有 时 被 称 为 联系 的 方法 。 值 得 注意 的 是 换 位 密码 不 影 
响 单 字母 频率 ,“e” 仍 保持 为 “e” 等 等 ， 因 此 单字 母 频率 对 于 已 经 确切 知道 是 简单 换 位 方法 
的 密码 提供 不 出 任何 有 用 的 信息 。 实 际 上 ， 如 果 密 文 的 单字 母 频率 本 质 上 与 其 他 英文 相同 ， 
那么 我 们 认为 它 是 简单 换 位 密码 。 这 种 方法 对 于 短 的 变 位 字 效果 非常 好 ， 毕 竟 它 是 一 个 手工 
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方法 的 简单 形式 ， 选 取出 常用 单词 片断 或 小 单词 ， 然 后 以 某 种 合理 的 方式 安排 剩余 部 分 。 

举 个 简单 的 例子 ， 给 出 一 个 密 文 KTICH， 以 下 使 用 联系 的 方法 。 最 常见 的 双 字 和 母 组 是 
“也 ” 还 有 “ck”。 这 样 ， 我 们 试 着 寻找 更 小 的 块 来 代 蔡 “K”“T”“I”“C”“H”5 块 ， 恰 
好 是 “TH”“CK”“I”。 从 而 ， 取 代 5! =120 种 可 能 排列 ， 缩 减 为 寻找 3! =6 种 排列 可 能 。 
此 外 ， 由 于 只 有 一 个 元 音 ， 而 且 它 必须 在 中 间 ， 所 以 仅 有 两 种 解密 可 能 ,“ckith” 和 “thick”， 
后 者 正 是 我 们 需要 的 。 如 果 我 们 采取 另 一 种 不 同 的 方式 ，( 错 误 地 ) 设想 通常 会 存在 “CH”， 
同时 排除 不 可 能 的 “KT” 和 “TK”， 然 后 “1” 和 和 “CH” 二 者 之 一 必须 出 现在 “T” 和 “KK” 
之 间 ， 但 是 很 明显 我 们 需要 一 个 元 音 ， 也 就 是 “I”。 同样 地 ,“CH” 不 能 同 “K” 相 邻 ， 并 且 
“TCH” 和 “CHT” 在 英文 中 根本 不 常见 。 但 是 到 现在 为 止 我 们 排除 了 所 有 使 用 “CH” 的 可 
能 性 ， 因 此 我 们 通过 联系 的 方法 判断 (相当 机 械 )“CH” 不 存在 。 

备注 “注意 到 这 是 一 种 真正 可 行 的 概率 方法 。 如 果 最 有 希望 的 可 能 性 失败 了 ， 就 必须 返 
回 ， 尝 试 可 能 性 较 小 的 方法 ， 就 像 暗 号 (cryptograms) 一 样 。 

举 个 稍微 大 一 点 的 例子 ， 考 虑 密 文 “SEGHCAN” 有 7! =5040 种 可 能 的 排列 。 在 用 肉 
眼 可 以 识别 出 单词 前 ， 我 们 想 尽 可 能 多 机 械 地 排除 一 部 分 。 让 我 们 首先 通过 排除 不 可 能 出 现 
的 双 字 母 组 来 缩减 查找 范围 :“hc”、“hs”、“gn”、“ae”“sg”“gc”“cg”、“hg” 都 是 不 可 
能 的 。 由 于 极 少量 的 元 音 ， 所 以 在 这 里 “gs” 也 是 不 可 能 的 。 进 而 ， 在 这 种 情形 下 ， 破 译 结 
果 的 末尾 不 可 能 是 “a” “ec”“g”“h”“n” 或 者 “e”。 我 们 就 可 以 把 注意 力 集中 在 包含 “sh” 
或 “ceh” 的 译 码 上 。 一 个 纯粹 机 械 的 过 程 表明 剩余 的 可 能 性 仅 有 22 种 (不 是 5040 种 )。 为 了 
名 明确 看 出 ， 我 们 将 其 一 一 列 出 : egachns、echngas、gechans、gechnas、geachns、genchas、 
gachens、gachnes、ganches、chegans、chengas、chagens、changes、chnegas 、chngeas、chnages、 
agechns、achnges、ngechas、ngaches、nchegas、nchages,“changes” 显 然 是 可 能 的 解密 结果 。 

然而 ， 对 于 大 的 变 位 字 【分 组 同 报 文 长 度 一 样 ) 将 有 许多 似是而非 的 解密 ， 这 个 方法 就 
是 失败 的 。 例 如 ， 密 文 “RHETDA”(64! =720 种 可 能 排列 ) 能 被 排列 为 “thread”， 并 且 也 可 
以 是 “dearth”、“at herd” 和 “red hat” 等 等 ， 我 们 如 何 能 够 分 辨 出 哪 一 个 是 正确 的 呢 ? 我 们 
不 能 。 进 一 步 的 上 下 文 可 能 有 所 帮助 ， 用 这 种 方法 加 密 的 上 下 文 可 以 产生 大 量 的 附加 信息 。 
因此 ， 模 糊 性 不 能 排除 。 这 样 ， 与 许多 其 他 的 古典 密码 比较 ， 当 加 密 分 组 的 大 小 和 消息 一 样 
大 时 ， 解 密 换 位 密码 存在 比较 严重 的 问题 

但 是 ， 如 果 一 个 攻击 者 拥有 同一 密 钥 的 两 个 或 更 多 简单 换 位 密码 加 密 的 密 文 ， 或 者 〈 相 
同意 义 ) 如 果 分 组 大 小 比 消息 的 一 半 还 要 小 , 就 会 发 生 多 重 变 位 字 攻 击 。 这 种 攻击 的 原理 是 ， 
尽管 单个 变 位 字 人 允许 有 许多 不 同 的 有 意义 排列 ， 但 是 两 个 变 位 字 同 时 合理 地 呈现 出 超过 一 种 
排列 是 非常 不 可 能 的 。 

例如 ， 假 设 收 到 两 个 密 文 “ESROL” 和 “VIERD” 并 且 知 道 是 通过 简单 换 位 密码 用 相 
同 密 钥 加 密 得 到 的 。“ESROL” 至 少 有 两 个 较 合理 的 解码 “loser” 和 “sorel”， 而 “VIERD” 
也 同样 至 少 有 两 个 解码 “drive” 和 “diver”。 然 而， 只 有 通过 移动 第 1 个 字母 到 第 4 个 , 第 2 
个 到 第 3 个， 第 3 个 到 第 5 个 ， 第 4 个 到 第 2 个 ， 第 5 个 到 第 1 个 字母 的 位 置 的 同样 排列 ， 
所 给 出 “loser” 和 “drive” 作 为 破解 的 明文 更 为 合理 。 

备注 ”从 联系 方法 的 观点 看 ， 目 标 是 缩减 查找 空间 。 如 果 我 们 不 设法 要 点 聪明 的 话 ，5 
件 事情 有 5$! =120 种 不 同 种 排列 ， 但 是 我 们 能 决定 忽略 一 些 排列 ， 对 

“ESROL ”包括 “Sr”“lr” 或 “oe” 的 破解 
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“VIERD” 包 括 “vr” “vd” 或 “dv” 的 破解 
由 于 这 些 都 是 非常 不 常见 的 双 字母 组 。 虽 然 它 是 一 点 单调 乏味 的 检验 ， 但 是 这 样 仅 剩 下 
24 种 可 能 的 排列 。 在 解密 “ESROL” 上 ， 我 们 能 够 进一步 排除 “eo” 的 存在 。 同 样 的 原因 ， 
在 解密 “VIERD” 时 ， 阻 止 了 “vr” 的 出 现 ， 因 此 没有 任何 进展 。 但 是 在 排除 了 “VIERD"” 
以 “v” 或 “i” 结尾 译 码 的 情况 后 ,缩减 查找 空间 为 15， 并 且 排 除 “ESROL” 以 “o” 结 尾 ， 
可 能 排列 的 数目 缩减 到 了 10 〈 由 于 不 需要 高 水 平 的 英文 理解 力 ， 这 些 数 能 够 机 械 的 得 到 ) 剩 
下 的 10 种 可 能 列表 足 可 以 由 一 个 人 观察 出 来 ; 
oserl rived 
oresl] revid 
olser rdive 
loser drive 
esorl vired 
eslor vidre 
ersol veird 
erosl verid 
Serol iverd 
resol evird 
在 两 组 破解 中 仅 有 的 有 意义 的 一 组 英文 是 第 4 组 ， 即 “loser” 和 “drive”。 
备注 注意 到 所 有 其 他 的 古典 密码 ， 选 择 明 文 攻击 都 能 够 立即 揭示 密 钥 。 也 就 是 说 ， 从 
现代 的 观点 看 来 ， 简 单 换 位 密码 远 远 不 能 满足 密码 的 基本 标准 。 尽 管 如 此 ， 理 解 唯 明文 攻击 
能 够 成 功 仍 是 重要 的 。 
备注 在 密码 分 析 学 中 ， 搞 清楚 机 械 是 什么 和 人 做 出 判断 需要 些 什么 练习 之 间 的 区 别 是 
重要 的 。 机 器 能 够 以 较 低 的 错误 率 执行 重复 率 较 高 的 任务 ， 而 人 类 做 不 到 。 因 此 ， 最 大 限度 
地 机 械 预 排序 或 预 过 滤 在 需要 人 查看 可 能 破解 前 是 主要 目的 。 而 语言 更 多 诡辩 模式 的 发 
展 的 确 既 有 趣味 也 有 潜在 的 作用 ， 看 来 用 简单 语言 模式 获得 成 功 的 方法 更 具有 生命 力 。 


习题 


3.2.01 破解 “HVLC”， 它 是 使 用 简单 换 位 密码 加 密 。 

3.2.02 破解 “HETEM”， 它 是 使 用 简单 换 位 密码 加 密 。 

3.2.03 破解 “ALBST”， 它 是 使 用 简单 换 位 密码 加 密 。 

3.2.04 破解 “RIGYM”， 它 是 使 用 简单 换 位 密码 加 密 。 

“3.2.05 破解 “EPSILTP”， 它 是 使 用 简单 换 位 密码 加 密 。 

3.2.06 破解 “TSAALPEN”， 它 是 使 用 简单 换 位 密码 加 密 。 

3.2.07 破解 “EAGGAR” 和 “DAIREP”， 它 们 使 用 相同 的 简单 换 位 密码 加 密 《〈 变 位 字 )。 

3.2.08 破解 “YLAINLF” 和 “ELYICCB”, 它们 使 用 相同 的 简单 换 位 密码 加 密 〈 变 位 字 )。 

3.2.09 破解 “QHEIASUMS” 和 “LYGCAHIRO” 它们 使 用 相同 的 简单 换 位 密码 加 密 〈 变 
位 字 )。 
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3.3 ”置换 概念 


直观 地 说 ， 对 一 些 事物 置换 就 意味 着 反复 地 移动 它们 ， 更 确切 些 ， 一 个 集合 X 的 置换 f 
被 定义 为 元 到 自身 的 一 个 双 射 函数 了。 

关于 XX 的 置换 我 们 关心 的 问题 也 就 是 有 多 少 个 置换 ?如果 钱 有 nn 个 (不 同 的 ) 元 素 
Xx,X2,…,Xn 并 且 了 :XX 一 了 是 邯 的 一 个 置换 ， 那 么 f(x,) 的 值 有 nn 种 选择 ，f(x, 1) 的 值 可 以 
有 7-1 种 选择 《因为 它 不 能 是 f(x,) 的 值 ) 等 等 ， 这 样 n 个 元 素 的 集合 总 共 就 有 nt 个 置换 。 

这 里 有 一 个 很 重要 的 问题 就 是 ， 给 定 的 某 个 状态 经 过 多 少 次 置换 后 能 够 返回 到 其 初始 状 
态 ? 这 不 仅 与 洗 牌 有 关 ， 也 与 随机 数 的 产生 和 其 他 问题 有 关 。 

为 了 研究 置换 本 身 同 集合 的 元 素 内 容 无 关 ， 只 需要 我 们 能 够 把 它们 分 离开 ， 看 一 下 如 下 
这 个 集合 

{1，2，3，…，1H-1，7} 

它 是 个 元 素 集合 一 个 很 好 的 例子 。n 个 元 素 的 置换 群 的 标准 符号 应 该 记 为 5,，5, 也 被 称 为 
7 个 元 素 的 对 称 群 。 

尽管 被 称 为 “对 称 群 "， 这 些 群 与 我 们 所 热 悉 的 几何 中 的 “对 称 群 ”还 不 是 直接 相关 的 。 
同时 ， 一 个 对 称 性 的 集合 可 以 证 明 是 一 个 对 称 群 ， 这 种 情况 确实 可 能 产生 。 如 果 我 们 愿意 把 
包含 nn 元素 的 集合 称 为 一 个 “几何 物体 ”， 那么 对 称 群 就 是 一 个 对 称 性 的 集合 。 这 里 的 目的 是 
用 术语 试图 说 明 一 些 事情 ， 但 是 参考 引证 有 些 不 足 ， 因 此 注意 你 所 参考 使 用 的 术语 ， 

为 详细 的 描述 f 的 操作 ， 标 记 {1，2 ，…，zj} 上 的 置换 了 的 标准 方法 是 将 f 有 效 地 图 
形 化 ， 有 具体 为 如 下 列表 形式 : 记 为 


a 2 3 网 
AD fF) 7AG) … 7 
这 样 ， 稍 微 改变 一 下 符号 很 容易 ， 置 换 


[ 2 3 .B.. "] 
8=|., ， . ， 
i 2 Bi 
1 2 3 ... nn 
已 三 
1 2 3 … 7 


这 是 一 个 没有 移动 集合 任何 元 素 的 置换 。 也 就 是 说 ， 对 于 所 有 的 ; ，eli)=i。 
当然 ， 一 个 置换 之 后 还 可 能 应 用 另 一 个 置换 ， 如 果 g 和 六 是 两 个 置换 ， 记 为 
So 
表示 先 应 用 h， 然 后 应 用 g 。 这 是 两 个 置换 的 合成 或 乘积 ， 区 分 应 用 置换 的 顺序 是 比较 重要 
的 ， 通 常 ， 


就 是 满足 g(D)=i 的 一 个 置换 。 
我 们 总 可 以 得 到 平凡 置换 


gohzhog 
我 们 来 看 下 面 的 例子 。 任 何 情况 下 ， 这 个 符号 都 同 函数 合成 的 符号 相 一 致 ， 即 对 于 
1<i<n ， 定 义 
(goPDD= gh0)) 
作为 置换 定义 的 一 个 结果 ， 即 置换 是 集合 到 自身 的 〔 双 射 ) 函数 ， 置 换 的 合成 满足 结合 
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律 : 对 于 一 个 集合 的 所 有 置换 g,h,k ， 
(goh)ok= go(hok) 
事实 上 ， 对 于 集合 的 任意 元 素 i， 置 换 合 成 的 定义 给 出 下 述 等 式 ;: 
((g oh)okMX)=(g oh)(K(X)) ”((g。 用 ok 的 定义 ， 应 用 于 x) 
= g(h(k(x))) ”(g。h 的 定义 ， 应 用 于 K(x)) 
= g((hok)(x)) (hok 的 定义 ， 应 用 于 x) 
= (go(hok))(x) (go(hok) 的 定义 ， 应 用 于 x) 
《这 个 结果 对 无 限 集合 也 同样 适用 。) 
对 于 任意 置换 g ， 存 在 一 个 通过 置换 g 执 行 反 向 操作 得 到 的 着 置换 g“!， 即 有 
g°g =g og8=e 
表示 合成 的 小 圆圈 标志 经 常 被 省 略 ， 我 们 记 
g°h=gh 
就 好 像 是 普通 的 乘法 。 我 们 不 能 认为 gh= hg ， 这 一 点 必须 注意 。 
置换 的 图 表 记 法 对 于 计算 两 个 置换 乘积 是 非常 有 效 的 ， 例 如 计算 : 


123 人 23 
231)\321 
我 们 看 到 这 个 合成 对 1、2、3 的 每 一 个 都 执行 了 什么 操作 。 右 边 的 置换 先 执行 ，1 变 为 3， 


再 通过 第 二 个 置换 (左边 的 置换 ) 到 1。 相同 地 ，2 变 为 2( 通 过 右边 的 置换 )， 再 到 3( 通 
过 左边 的 置换 )。 同 样 地 ，3 到 1 (通过 右边 的 置换 )， 再 到 2 通过 左边 的 置换 )。 图 表 描 述 


这 种 情况 则 是 
1 2 3 /123 /23 
L 3 小 2 中 3 
假如 我 们 以 相反 的 顺序 做 乘法 (合成 )， 则 得 到 不 同 的 结果 : 
1 2 3] /123) /123 
( 2 小 3 中 1 中 
这 就 是 置换 乘积 不 可 交换 性 的 最 简单 的 例子 ， 也 就 是 说 ， 通 常 ghz he 。 
置换 ， 特 别 是 大 集合 上 的 置换 ， 可 能 是 难以 想象 的 复杂 事物 。 尽 管 如 此 ， 它 们 仍 能 被 分 
为 多 个 简单 的 部 分 ， 我 们 往 下 看 。 
首先 ， 最 简单 的 置换 是 不 同 长 度 的 循环 . 一 个 大 循环 是 一 个 满足 如 下 条 件 的 置换 f ，( 对 
于 一 些 数 i…,ii ) 
f2)=6, /2)=6, fi)= i fe) =is fli) = 
并 且 对 于 任意 的 不 在 六 … 志 中 六 有 .CD=7。 注意 站 返回 二 。 如 同 循环 的 名 称 所 表示 的 那样 ， 
在 i…, 计 内 部 循环 。 对 此 我 们 有 一 个 简便 的 记 法 即将 这 个 循环 记 为 
(i 


例如 ， 与 更 加 一 般 的 记 法 相 比 较 ， 


1 2 3 
G 1 3]=0 2 


1 2 3 
G3 -aa 


1 2 3 
G3 3 j= ?3 


按 顺序 就 是 两 个 2 循环 和 一 个 3 循环 。 
与 更 加 一 般 的 记 法 不 同 ， 在 循环 的 表示 中 有 些 不 确定 性 ， 例 如 ， 


(1 2 3)=2 3 D=3 1 2) 


通常 ， 按 照 循环 的 这 种 记 法 ， 则 有 种 不 同 的 方法 来 表示 上 人 循环。 那么 按照 这 样 的 表示 方法 
如 下 结论 就 非常 明显 了 : 

e 如 果 g 是 一 个 上 循环 ， 那 么 g* =e。 

这 就 意味 着 应 用 g 对 集合 操作 大 次 ， 不 会 对 集合 产生 任何 真正 的 影响 ， 即 没有 移动 任何 
元 素 。 循 环 之 间 是 如 何 相互 作用 的 呢 ? 一 般 情 况 不 是 很 好 描述 ， 但 是 ， 如 果 g = (0 … 支 ) 和 
有 =( 记 ,…, 放 分别 是 循环 和 1 循环 , 并 且 和 名,…, 计 } 和 人,…, Jj 是 不 相交 的 列表 , 那么 g 和 天 
就 可 以 很 好 的 相互 作用 ， 它 们 可 以 交换 ， 也 就 是 在 这 种 特殊 的 情况 下 

gh=hg 
这 样 的 循环 被 称 作 【 合 理 地 ) 不 相交 的 循环 。 根 据 这 一 思想 我 们 就 有 如 下 结论 : 

e 任何 置换 都 可 以 表示 为 一 些 不 相交 循环 的 线 积 ， 并 且 本 质 上 只 有 这 一 种 表示 方法 。 

这 里 “本 质 上 ”的 含义 是 指 相同 的 循环 按照 不 同 的 顺序 相 履 ， 我 们 认为 它 是 同一 种 表示 
方法 ， 毕 竟 这 里 的 履 积 是 可 交换 的 。 这 被 称 作 置 换 的 不 相交 循环 分 解 。 

知道 了 置换 g 的 不 相交 循环 分 解 ， 我 们 己 经 非常 接近 置换 g 的 本 质 了 。 非 常 幸运 ， 这 种 
分 解 能 够 由 一 种 系统 的 方法 (有 效 的 给 出 这 个 结论 的 直观 证 明 〉 确 定 。 例如 ， 考 虑 

1234567 
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在 重复 应 用 g 的 情况 下 ， 我 们 能 够 描绘 元 素 变 化 的 轨迹 。 起 先 ， 让 我 们 看 一 下 g 的 反复 应 用 
使 1 发 生 了 什么 变化 : 首先 1 置换 4， 然后 到 5， 再 到 7， 再 到 1。 由 于 已 经 返回 1， 我 们 就 
已 经 完成 了 循环 : 我 们 看 到 g 中 存在 的 一 个 循环 是 
(445 97 
接 下 来 看 另 一 个 数 ， 例 如 2， 在 这 个 循环 中 没有 出 现 。 首 先 2 到 3， 然 后 到 2， 这 就 已 经 完成 
了 另 一 个 循环 。 这 样 在 g 中 也 有 一 个 2 循环 
2 3) 
在 这 两 个 循环 中 唯一 没有 出 现 的 一 个 数 是 6, 在 g 的 作用 下 它 没有 变化 。 这样 我 们 就 得 到 了 g 
的 不 相交 循环 分 解 ; 
1234567 
(3 > s76 中 -4 4 5 72 3=C 3 4 5 7) 

在 上 面 的 例子 中 ，6 被 g 置换 回 自身 g(6) =6。 也 就 是 说 ，6 是 g 的 一 个 不 动 点 。 在 我 
们 的 循环 分 解 表 示 中 ， 根 本 没有 提 到 6， 瞳 示 了 6 是 不 变 的 。 但 是 我 们 也 能 够 明确 的 以 1 循 
环 指 出 不 变 元 素 。 因 此 如 果 我 们 想 明 确 在 上 面 的 例子 中 6 发 生 了 什么 变化 ， 我 们 可 以 记 
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1234567 
(3 > s 7 6 ja 4 5 72 3)=(2 3 4 5 7)(6) 

不 相交 循环 分 解 能 够 用 来 确定 一 个 兽 换 被 多 次 应 用 后 却 不 产生 任何 实际 的 影响 而 需要 
重复 的 次 数 ， 出 现在 这 个 分 解 中 不 相交 循环 长 度 的 最 小 公 倍数 。 

置换 的 阶 就 是 置换 被 多 次 应 用 后 却 不 产生 任何 实际 的 影响 所 需要 重复 的 次 数 (当然 ， 这 
有 可 能 和 词 “ 阶 ”的 其 他 应 用 混淆 。》 这 样 

e 大 循环 的 阶 是 天。 不 相交 循环 乘积 的 阶 就 是 各 个 循环 长 度 的 最 小 公 倍 数 。 

我 们 可 以 想像 ， 由 于 在 混合 效果 被 抵消 之 前 需要 重复 应 用 循环 ， 所 以 较 大 阶 的 置换 比较 
小 阶 的 置换 具有 更 佳 的 混合 效果 。 按 照 这 样 的 想法 ， 如 果 一 副 牌 洗 得 很 好 的 话 ， 那 么 重复 洗 
牌 一 定 次 数 后 将 返回 它 的 初始 次 序 ! 对 于 52 张 牌 而 言 ， 这 个 限定 的 次 数 是 8， 但 是 ， 洗 好 牌 
是 不 容易 的 。 

举 个 例子 ， 考 查 Sj 的 所 有 元 素 ， 确定 它们 作为 不 相交 循环 乘积 的 结构 ， 计 算 每 一 种 情况 
的 数量 ， 并 且 记 录 它 们 的 阶 。 

首先 ， 对 7 循环 (ii… 声 ) 进行 计数 : 下 有 7 种 选择 ，i, 有 6 种 选择 ， 如 此 下 去 , 但 是 有 7 
种 不 同 的 方法 标记 7 循环 ， 因 此 共有 74/7 种 不 同 的 7 循环 。 

其 次 ，6 循环 (i …ic): i 有 7 种 选择 ，i, 有 6 种 选择 ， 等 等 ， 直 到 i 有 2 种 选择 ， 有 6 
种 不 同 的 方法 标记 每 个 6 循环 ， 因 此 共有 74/6 种 不 同 的 6 循环 。 

再 次 ，5 循环 (ii…is): i 有 7 种 选择 ，i, 有 6 种 选择 ， 等 等 ， 直 到 二 有 3 种 选择 ， 有 5 
种 不 同 的 方法 标记 每 个 5 循环 ， 因 此 共有 7!/215 种 不 同 的 5 循环 。 

对 于 其 他 变化 ， 我 们 再 来 对 可 表示 为 不 相交 的 5 循环 和 2 循环 乘积 的 置换 进行 计数 。 我 
们 已 经 知道 有 7!/215 种 不 同 的 5 循环 , 但 是 对 每 个 5 循环 的 选择 , 与 它 不 相交 的 的 2 循环 只 
有 一 种 选择 ， 因 此 就 有 71/215 种 不 同 的 不 相交 $ 循环 和 2 循环 的 乘积 。 我 们 注意 到 不 相交 5$ 
循环 和 2 循环 的 乘积 的 阶 是 lcm(2,5)=10 。 

同 前 例 一 样 进行 同样 的 推理 ， 有 71!/314 种 不 同 的 4 循环 。 

不 相交 的 4 循环 和 2 循环 有 7!1/3!14.31/2 种 选择 ， 这 种 乘积 的 阶 是 lcm(2,4)=4。 

不 相交 的 4 循环 和 3 循环 有 7!/3!14.31/3 种 选择 ， 这 种 乘积 的 阶 是 lem(3,4)=12。 

同 前 例 一 样 进行 同 样 的 推理 ， 有 71413 种 不 同 的 3 循环 。 

不 相交 的 3 循环 和 2 循环 有 71/413.41/212 种 选择 ， 这 种 乘积 的 阶 是 lcm(2,3)=6。 

确定 不 相交 的 3 循环 、2 循环 和 2 循环 的 数量 是 有 一 点 困难 ， 因 为 两 个 2 循环 是 难以 区 
别 的。 这 样 ， 有 

413 212 012 21! 

在 最 后 除 以 2!， 是 考虑 两 个 2 循环 有 2! 个 不 同 的 顺序 ， 它 们 仅 是 符号 表示 上 的 不 同 ， 
而 不 是 置换 自 本 身 的 不 同 ， 这 种 置换 的 阶 是 lcm(2,2,3)=6。 

确定 不 相交 的 两 个 3 循环 数目 的 方法 与 前 面 类 似 ， 尽管 我 们 在 两 个 3 循环 的 选择 上 好 像 
是 有 序 的 ， 但 是 它们 实际 上 不 是 有 序 的 。 这 样 的 循环 对 的 个 数 为 

7! 4! 1 
43 13 21! 

在 最 后 除 以 2! 是 考虑 到 两 个 3 循环 有 2! 个 不 同 的 顺序 ， 它 们 仅 是 符号 表示 方法 的 不 同 ， 
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而 不 是 置换 自身 的 不 同 ， 这 样 的 置换 的 阶 是 lcm(3,3,1)=3。 

有 7!/5!2 种 不 同 的 2 循环 ， 每 一 个 的 阶 都 是 2。 

有 71!1/512.51/312.1/21 对 不 相交 的 2 循环 ， 在 最 后 除 以 2! 是 考虑 到 两 个 2 循环 的 可 能 
顺序 ， 这 仅仅 是 表示 方法 上 的 影响 ， 而 不 是 置换 自身 的 影响 。 

最 后 ， 有 


512 3!2 12 31 

个 不 相交 的 2 循环 的 三 元 组 ， 在 最 后 除 以 3! 是 考虑 到 3 个 2 循环 的 可 能 顺序 ， 这 仅仅 是 表 
示 方 法 上 的 影响 ， 而 不 是 置换 自身 的 影响 。 这 种 置换 的 阶 是 lcm(2,2,2)=2。 

由 前 面 的 讨论 , 我 们 看 到 7 个 元 素 的 任何 置换 的 最 大 阶 为 12， 也 就 是 不 相交 的 3 循环 和 
4 循环 的 乘积 置换 的 阶 。 

举 一 个 包含 计数 问题 的 特殊 例子 。 在 S,, 中 ， 我 们 来 对 不 相交 的 三 个 2 循环 和 三 个 5 循 
环 进行 计数 。 类 似 于 前 面 的 讨论 ， 这 类 置换 的 数量 为 

24! 22! 20! 1 18! 13! 8&8! 1 


2212 20!2 18!2 3! 1315 8!5 3!5 3! 
除 以 两 个 3! 是 考虑 到 3 个 2 循环 的 可 能 顺序 和 3 个 5 循环 的 可 能 顺序 。 注 意 ， 由 于 2 循环 
和 5 循环 是 可 以 辨别 的 ,所 以 对 于 跟 $ 循环 相关 的 2 循环 的 顺序 就 没有 进一步 考虑 的 必要 了 ， 
如 此 类 推 。 


习题 

3.3.01 用 不 相交 循环 的 乘积 表示 下 列 置换 ， 并 确定 阶 : 

1 2345 

25431 
3.3.02 用 不 相交 循环 的 乘积 表示 下 列 置换 ， 并 确定 阶 ; 
1234567 
25471356 
3.3.03 用 不 相交 循环 的 乘积 表示 下 列 置换 ， 并 确定 阶 : 
1234567 
23471556 
3.3.04 用 不 相交 循环 的 乘积 表示 下 列 置换 ， 并 确定 阶 : 
12345637 
6542713 


3.3.05 计算 乘积 
3.3.06 计算 乘积 


3.3.07 计算 乘积 
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1234567)/1234567 
(5371 
3.3.08 5 个 元 素 置换 的 对 称 群 5; 中 有 多 少 个 不 同 的 3 循环 ? 
3.3.09 4 个 元 素 置 换 的 对 称 群 8, 中 有 多 少 个 不 同 的 4 循环 ? 
3.3.10 通过 将 54 中 的 元 素 表示 为 不 同 阶 的 不 相交 循环 的 乘积 ， 对 54 中 每 种 可 能 阶 的 元 
素 进 行 计 数 ， 
3.3.11 通过 将 5; 中 的 元 素 表示 为 不 同 阶 的 不 相交 循环 的 乘积 ,对 .5 中 每 种 可 能 阶 的 元 素 
进行 计数 。 
3.3.12 5; 的 任意 元 素 的 最 大 阶 是 多 少 ? S4 呢 ? 
3.4 洗 牌 


通过 在 一 副 牌 上 切换 的 方式 来 洗 牌 以 及 迅速 洗 多 副 牌 ， 都 可 以 看 作 是 对 一 副 牌 的 集合 上 
进行 置换 ， 这 些 动 作 是 可 以 分 析 的 。 某 些 分 析 结 论 可 能 是 令 人 惊奇 的 ， 与 洗 牌 一 样 的 混合 过 
程 被 用 于 交错 卷 积 码 (interleaving convolutional codes ) 。 

对 于 一 副 牌 最 简单 的 切 牌 方法 是 选择 一 个 随机 点 把 一 副 牌 一 分 为 二 ， 然 后 交换 两 部 分 。 
例如 ， 一 副 6 张 的 牌 ，0、1、2、3、4、5， 牌 可 能 被 分 为 0、1 和 2、3、4、5 两 部 分 。 然 后 ， 
两 部 分 以 2、3、4、5、0、1 顺序 放 在 一 起 。 对 于 nn 张 牌 ， 切 牌 就 会 产生 如 下 效果 

0.1.2.3 ,1 2 nl Sitlit2,...n— 2,n—1, 0,2,3,..,i 
即 按 照 整数 模 n 约 简 的 语言 表述 ， 这 个 过 程 可 以 看 作 一 个 函数 
fi:Z/n>Z/n 
这 个 洗 牌 过 程 就 是 
JJ) = (x+i%n 
也 就 是 说 ， 对 n 张 牌 的 一 次 切 牌 相当 于 模 加 法 操作 。 特 别 地 ， 
Fifi(x) = fir s(x) 
就 是 说 ， 两 次 切 牌 的 效果 与 一 次 切 牌 的 效果 一 样 。 特 别 地 ， 因 为 即使 你 花 一 整 天 时 间 切 一 副 
牌 ， 其 效果 也 可 能 不 会 比 做 一 次 简单 的 切 牌 好 ， 所 以 用 那 种 方法 切 牌 不 会 是 一 个 彻底 的 洗 牌 
一 副 22 张 的 牌 ， 好 的 洗 牌 方法 包括 把 牌 分 为 相等 的 两 份 
1,2,3,..., 7 n+l,n+2,..…,2n —1,2n 
然后 像 下 面 一 样 ， 把 其 中 一 半 同 另 一 半 交 错 
12+1lnz+2,2,72+33…,28-1L8-127272 《完美 的 洗 牌 结果 ) 

注意 到 顶端 和 底 端 的 牌 都 不 在 它们 的 初始 位 置 。 有 一 种 对 于 各 种 骗术 非常 有 用 的 洗 牌 方 
法 ， 它 里 面 顶 端 和 底 端的 牌 保留 在 原来 的 位 置 ， 一 个 糟糕 的 交错 的 例子 是 

Ln+tb2,n+2,3,n+3,3,…,n 一 2n 一 l,m2n 【〔 不 好 的 洗 牌 结果 》 

对 于 一 副 牌 ， 这 种 不 好 的 洗 牌 同 好 的 洗 牌 一 样 都 是 通过 从 一 副 牌 的 顶端 和 底 端 移 牌 。 注 
意 到 只 有 一 种 洗 牌 ，( 或 者 可 能 有 两 种 ) 不 同 于 有 参数 的 切 牌 。 | 

命题 ”对 一 副 有 2n 张 牌 1,2,…,2n - 1 的 完美 快速 洗 牌 是 如 下 这 样 一 个 函数 

f(x) =(2.x)%(2n+D) 
即 乘 以 2 后 再 用 模 2n+1 约 简 。 
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证 明 一 方面 ,如果 1<x<n， 那 么 根据 快速 洗 牌 的 定义 ， 又 由 于 交错 把 x 放 至 这 副 牌 
的 第 2x 位 置 。 另 一 方面 ， 如 果 n<x<2n， 记 x=n+i。 然 后 根据 快速 洗 牌 的 定义 ，x 被 放 
至 这 副 牌 的 第 (2i 一 1) 位 置 。 由 于 2n+1<2(n+i) <2(2n+1)， 我 们 重新 表示 这 个 式 子 为 

fat)=2i-1=2(4+D)-(2n+l)=2(n+i)%2n+1 

这 证 明了 快速 洗 牌 的 过 程 正 是 乘 2 模 2n+1， 定 理 得 证 。 人 

推论 使 e 为 2 模 2z+l 的 阶 , 即 e 是 满足 2 =1mod2n+1 的 最 小 正 整 数 。 那么 对 一 副 有 
27 张 的 牌 经 过 e 次 洗 牌 后 ， 所 有 的 牌 都 第 一 次 返回 到 它们 的 初始 位 置 。 

证 明 ”经 过 1 次 快速 洗 牌 后 ， 第 x 张 牌 被 放 到 第 2‘xmod2n+1 个 位 置 上 。 方 程 

2'x=xmod2n+1 | 
对 于 x=1,2,3,…,2n， 包 括 一 个 特例 x=1， 即 有 

2' =1mod2n+1 
满足 上 式 的 最 小 正 整 数 为 :=e， 那 么 对 于 所 有 的 x 有 2*x=xmod2n+1。 全 
习题 

3.4.01 证 明 对 一 副 50 张 的 牌 恰好 执行 8 次 完美 的 快速 洗 牌 后 ， 所 有 的 牌 返回 到 它们 的 
初始 位 置 。 

3.4.02 证 明 如 果 对 一 副 52 张 的 牌 反复 执行 完美 的 快速 洗 牌 ， 直 到 执行 52 次 这 样 的 快速 
洗 牌 后 ， 所 有 的 牌 才 返 回 到 它们 的 初始 位 置 。 

3.4.03 确定 对 一 副 10 张 牌 的 完美 快速 洗 牌 的 循环 分 解 。 

3.4.04 确定 对 一 副 12 张 牌 的 完美 快速 洗 牌 的 循环 分 解 。 

3.4.05 确定 对 一 副 14 张 牌 的 完美 快速 洗 牌 的 循环 分 解 。 

3.4.06 确定 对 一 副 16 张 牌 的 完美 快速 洗 牌 的 循环 分 解 。 

3.4.07 确定 对 一 副 18 张 牌 的 完美 快速 洗 牌 的 循环 分 解 ， 

3.4.08 确定 对 一 副 20 张 牌 的 完美 快速 洗 牌 的 循环 分 解 。 

3.4.09 不 用 完美 的 快速 洗 牌 方法 ， 而 用 自 上 而 下 的 快速 洗 牌 方法 把 12 张 牌 分 为 相等 的 
两 部 分 ， 在 所 有 张 牌 返回 到 它们 初始 位 置 前 ， 必 须 重复 进行 多 少 次 这 种 洗 牌 ? 

3.4.10 在 前 面 的 例子 中 ， 用 自 上 而 下 的 洗 牌 方法 ， 那 么 快速 洗 牌 的 不 相交 循环 分 解 是 什 


么 ? 
3.5 ”分 组 交错 


这 些 交 错 的 置换 被 用 于 古典 换 位 密码 ， 也 被 用 于 级 联 纠 错 码 《concatenated error - 
correcting codes )。 与 快速 洗 牌 过 程 相似 ， 这 些 置换 有 一 个 很 有 吸引 力 的 分 析 。 给 定 两 个 正 整 
数 m 和 nx， 定 义 一 个 称 为 mxn 典型 分 组 交错 的 置换 ， 取 N=m.n。( 实 际 上 ， 这 是 一 个 自 左 
向 右 ， 自 上 向 下 的 交错 ， 因 为 这 是 显而易见 的 。)》 

mxn 分 组 交错 的 有 形 描 述 非常 的 直截了当 : 按 行 写 一 组 数 0,1,2…, 和 -1， 自 左 向 右 ， 
自 上 向 下 放 入 mxn 数组 : 
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0 1 2 7 一 1 
n ntl n+2 … 2n—l 


mn~-n mn—-nt+l mn—-n+2 :+ mn—l 
然后 ， 自 左 向 右 ， 自 上 而 下 按 列 读 取 这 些 数 : 
0,n,27n,° ,mn—nl,nt+l,2nt+l,.,mn—nt+l,…,mn—l 
我 们 发 现 0 和 mn 一 1 保留 在 原来 的 位 置 ， 这 是 一 个 不 好 的 特征 。 但 是 一 些 其 他 好 的 特征 
和 简单 特性 弥补 了 这 个 缺陷 。 
从 交错 的 有 形 描 述 中 ， 我们 能 够 得 到 一 个 具有 mxn 阶 分 组 交错 效果 的 公式 : 给 定 x， 令 
X=gn+r， 其 中 0<r <n。 那 么 
gn+r=x—> q+rm 
实际 上 ， 注 意 到 在 mxn 数组 中 ，x 所 在 的 行 是 x/n 的 整数 部 分 ， 而 列 为 x%n 。 斯 倒 行列 读 
取 数 组 ， 以 m 代替 。 
例如 ，3x4 分 组 交错 可 通过 创建 如 下 数组 获得 
0 1 2 3 
4 5 6 7 
8 9 10 11 
按 列 读 取 则 为 0,4,8,1,5,9,2,6,10,3,7,11。 我 们 能 够 得 出 这 个 置换 的 循环 分 解 : 
(13954) (267108) (0) (11) 
通过 比较 ，3x6 分 组 交错 是 一 个 16 循环 (忽略 两 个 确定 的 不 动 点 ， 即 1 循环 0 和 15》 
1,3,9,10,13,5,15,11,16,14,8,7,4,12,2,6 
命题 忽略 两 个 不 动 点 0 和 mn 一 1，mxn 分 组 交错 对 如 下 集合 
{1,2,3,…"*, mn—2} 
的 作用 就 是 乘 以 m 而 后 模 mn 一 1 约 简 ， 即 x 一 (mx)%(mn 一 1)。 
证 明 令 x=gn+r，x<<sr<1i， 那么 
m:x=m(gqgnt+r)=mn:g+mr=(mn—l)g+g+mr=gqg+mrmodmn—l 
命题 得 证 全 
习题 


3.5.01 找 出 2x6 分 组 交错 置换 的 循环 分 解 。 

3.5.02 找 出 3x5 〈 自 左 向 右 ， 自 上 而 下 ) 分 组 交错 置换 的 循环 分 解 。 

3.5.03 找 出 3x4 〈 自 左 向 右 ， 自 上 而 下 ) 分 组 交错 置换 的 循环 分 解 。 

3.5.04 找 出 3x7〔 自 左 向 右 ， 自 上 而 下 ) 分 组 交错 置换 的 循环 分 解 。 

3.5.05 证 明 2xn《〔 自 左 向 右 ， 自 下 而 上 ) 分 组 交错 置换 与 完美 的 快速 洗 牌 具有 一 样 的 效 
果 , 证 明 2xn〔 自 左 向 右 ， 自 上 而 下 ) 分 组 交错 置换 与 糟糕 的 快速 洗 牌 具有 一 样 的 效果 。 
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4.1 维 吉 尼 亚 密码 


尽管 仿 射 (affine) 密码 在 抵抗 唯 密 文 攻击 上 比 可 怜 的 移 位 密码 要 好 一 些 ， 但 是 它 的 密 钥 
空间 太 小 ， 因 此 如 果 使 用 频率 分 析 的 话 ， 相 对 较 小 的 一 段 密 文 就 足以 破解 仿 射 密码 〈 也 就 是 
找到 密 钥 )。 一 次 一 密 的 思想 也 不 会 有 多 大 帮助 ， 办 为 密 钥 分 配 很 困难 。 

维 吉 尼 亚 密码 (the Vigenere Cipher) 具有 相对 较 大 的 密 钥 空间 ， 加 密 和 解密 使 用 的 思想 
与 我 们 已 见 过 的 一 些 思想 类 似 ， 只 是 在 顺序 上 有 些 不 同 。 它 是 一 个 对 称 密码 : 也 就 是 说 ， 知 
道 加 密 密 钥 本 质 上 就 相当 于 知道 解密 密 钥 。 它 是 一 种 多 表 加 密 贡 法: 在 密 文 的 不 同位 置 出 现 
的 字符 通常 不 是 以 同样 的 方式 加 密 的 。 

但 是 ， 维 吉 尼 亚 密码 是 一 种 周期 密码 ， 意 味 着 如 果 两 个 同样 的 字符 出 现 的 间隔 固定 ， 并 
且 为 密 钥 长 度 的 倍数 , 则 它们 将 以 同样 的 方法 进行 加 密 。 这 种 周期 特性 的 脆弱 常会 被 人 利用 。 

对 于 维 吉 尼 亚 密 码 ， 密 钥 是 一 个 字符 序列 有 =(h,…,k,)， 其 中 mm 为 任意 值 。 因 此 ， 在 原 
理 上 存在 无 限 多 个 密 钥 。 明 文 x= (xi,…,xn ) 将 被 分 为 长 度 为 m 的 段 。 如 果 消 息 的 长 度 恰 好 不 
是 m 的 倍数 ， 则 在 末尾 填充 随机 字符 。 我 们 在 这 里 同样 用 x%26 表示 整数 x 模 26 的 余数 ， 加 
密 函 数 El, 如 下 ; 

Ei (x1 Xn) = (C0 + h)%26, (x; + hy)%26,.:, x, + hk )2626， 
(Xm + Ki)Y026, (X042 + ky )Y026,.., (xom + kn )2026， 
(xp + bh V026, (X31.2 + ks V026,.-, Xam + Kk, 026, 


(XW + 26, xy m2 + ky)%26,..., (x + k,)%26) 
也 就 是 说 , 密 钥 的 第 一 个 字符 被 加 到 明文 的 第 1 个 , 第 (m+D 个 , 第 (2m+D 个 , 第 (3m +D 个 
字符 上 ( 且 模 26 约 简 ), 密 钥 的 第 二 个 字符 被 加 到 明文 的 第 2 个 ,第 (m+2) 个 ,第 (2m+2) 个 ， 
第 (3m+2) 个 字符 上 ( 且 模 26 约 简 )， 依 此 类 推 。 
注意 ， 如 果 与 需要 加 密 的 消息 长 度 相 比 ，m 的 值 很 大 ， 则 我 们 就 问 到 了 一 次 一 密 的 思想 
上 了 。 
解密 函数 D, 和 加 密 函 数 一 样 ， 但 使 用 减法 而 不 是 加 法 : 
Di x1, XNy) = (x — kh 026, (x, ~- k,)%26,..., (xz 一 大 )2026， 
(xc — hi)%26, xm.2 — ka)%26,.., (Xo 一 大 )9626， 
(rz 一石)9%626, (X22 — ks)%26,.…, (x3, 一 大 )%26, 


(XN_ml 一 而 )%026, (XN_m+2 一 k, )%26,…，, (xw 一 kn )%26) 
这 里 对 于 任意 整数 s,t ， 可 以 运用 如 下 等 式 ; 
(s—1)%26= (s+(26-1))%26 
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(以 及 其 他 类 似 的 等 式 )， 因 此 减法 〈 且 模 26 约 简 ) 确实 是 加 法 〈 且 模 26 约 简 ) 的 一 个 特 
殊 情 况 。 
如 果 我 们 对 文本 字符 流 的 元 素 进行 标记 ， 我 们 可 以 给 出 字符 对 加 密 和 解密 的 一 个 很 好 的 
公式 : 下 标 不 是 从 1 开始 ， 而 是 从 0 开始 。 因 此 密 钥 为 上 = (ko, 所 …,km_1)， 则 ; 
Ei (xo,X1,°"") = (0, 71,°*") 
其 中 ， 对 于 任意 下 标 i ， 有 : 
pi = (x;+ kiom)Y026 
下 标 也 要 模 密 钥 长 度 。 从 这 里 我 们 可 以 看 到 密码 的 周期 性 。 
例如 ， 密 钥 为 k= gopher = (6,14,15,7,4,17) ， 明 文 
meet me in the alley after midnight, bring money and dont tell 
加 密 后 变 为 :; 
SSTAQ VOBIO IRRZT FEWZS GTMUT WVOXS XWCNQ FTSNH 
RUJCC AXVRZ 
《所 有 非 字母 的 字符 都 被 去 掉 了 ， 并 且 重 新 排列 为 五 个 字符 一 组 )。 
这 是 多 轮 加 密 的 第 一 种 情况 ， 它 可 以 完全 用 于 各 种 目的 。 如 果 一 个 明文 使 用 密 钥 长 
度 为 m 的 维 吉 尼 亚 密码 加 密 ， 将 得 到 的 密 文 再 次 通过 密 钥 长 度 为 n 的 维 吉 尼 亚 密码 加 
密 , 最 后 结果 和 通过 直接 使 用 密 钥 长 度 为 m 和 nn 的 最 小 公 倍数 lem(m,n) 的 维 吉 尼 亚 密码 
加 密 的 结果 一 样 。 一 方面 ， 如 果 m 入 是 互 素 的 ， 则 lem(m,n) 为 mn ， 且 这 是 一 个 很 大 
的 密 钥 长 度 。 另 一 方面 ， 我 们 还 可 以 使 用 一 个 更 长 的 密 钥 。 
我 们 来 验证 ， 两 轮 的 维 吉 尼 亚 密码 是 一 轮 维 吉 尼 亚 密码 ， 其 密 钥 的 长 度 是 前 面 两 轮 
的 密 铀 长 度 的 最 小 公 倍数 。 实 际 上 ， 使 用 下 标 从 0 开始 的 记号 ， 两 个 密 钥 为 : 
kD = (Ko, kd, kd, 大 人) 
k= (ko ,kt), ka ,. ,, ,ko ) 
其 长 度 分别 为 m 和 nn， 则 根据 上 面 的 公式 有 : 
Ew (Ew Xo, xX, Xs X3,°*)) = (y0, 1, 2,°*") 
其 中 (对 于 所 有 的 下 标记 ): 
y; = (x + kl, + KY, )%26 
设 N=lcem(m,n) 。 定 义 一 个 长 度 为 六 的 密 铀 大 = (kh,…,kw_1) ， 其 中 ， 
k = (bin + km )%26 
然后 我 们 来 验证 单 轮 加 密 El 和 两 轮 加 密 的 效果 是 一 样 的 : 也 就 是 说 , 我 们 必须 验证 对 于 任意 
非 负 整 数 下 标 i ， 满 足 : 
kw = (ki + kn) mod 26 
这 里 的 问题 是 什么 ? 就 是 要 验证 对 于 所 有 i ， 是 否 满足 : 
(i%N)%m = i%om 
和 
(i%N)%n = iYon 
但 是 ， 如 果 满 足 m|N 且 n|N ， 则 我 们 已 经 验证 了 这 一 点 。m 和 闫 的 最 小 公 倍数 是 使 得 上 述 
成 立 的 的 最 小 值 。 
选择 明文 攻击 几乎 是 明显 的 ， 使 用 由 入 个 a (也 就 是 0) 组 成 的 字符 串 作 为 明文 ， 则 密 
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文 即 由 密 钥 本 身 重复 多 次 组 成 ， 总 数 达 到 个 NN 字符 为 止 。 因 为 不 知道 密 钥 的 长 度 ， 则 必须 经 
过 几 次 尝试 ， 才 能 使 得 a 组 成 的 字符 串 足够 长 以 使 得 密 文 开始 重复 自己 。 但 是 和 这 些 麻烦 事 
不 同 ， 维 吉 尼 亚 密码 很 容易 受到 选择 明文 攻击 。 例 如 ， 如 果 密 钥 为 “gopher ”， 一 -个 选择 明 
文 为 aaaaaaaaaaaaaaaaaaaa 《由 20 个 “a” 组 成 )， 则 密 文 变 成 : 
GOPHERGOPHERGOPHERGO 
已 知 明文 攻击 并 不 比 选择 明文 攻击 复杂 。 如 果 使 用 密 钥 对 一 个 字符 串 x= (x,x,,…) 进 
行 加 密 得 到 y= (yi,y,,…) ， 如 果 消 息 的 长 度 比 密 钥 的 长 度 大 得 多 ， 则 至 少 我 们 可 以 通过 下 面 
的 式 子 得 到 密 钥 = (后 ,大 ) : 
k=(p -4)%26 
k, = (2 — x2)%26 


大 = (y, — x,,)%26 
也 就 是 说 ， 如 果 我 们 使 用 一 个 新 的 密 钥 : 
Kk'=(—x%26,...,—xy%26) 
那么 ， 使 用 密 钥 对 密 文 y= (yi,y,,…) 进行 加 密 就 会 产生 一 定数 量 的 密 钥 。 与 选择 明文 攻击 
中 一 样 ， 从 原理 上 说 关于 密 钥 长 度 还 存在 某 些 不 确定 性 。 
唯 密 文 攻击 还 需要 做 大 量 进一步 的 准备 工作 。 


习题 


4.1.01 使 用 维 吉 尼 亚 密码 对 “meet me in the alley after midnight” 进 行 加 密 ， 密 钥 为 
“gandolf”。 - 
4.1.02 使 用 维 吉 尼 亚 密码 对 “meet me in the alley after midnight” 进 行 加 密 ， 密 钥 为 
“pandora”。 
4.1.03 使 用 维 吉 尼 亚 密码 对 “meet me in the alley after midnight” 进 行 加 密 ， 密 铀 为 
“platitude ”。 
4.1.04 使 用 维 吉 尼 亚 密码 对 “meet me in the alley after midnight” 进 行 加 密 ， 密 钥 为 
“horrific”。 
4.1.05 证 明 如 果 m 入 n 互 素 且 都 大 于 2， 则 长 度 为 mn 的 密 钥 的 个 数 比 长 度 为 m 的 密 钥 
的 个 数 与 长 度 为 n 的 密 钥 的 个 数 之 积 还 要 大 。 
4.1.06 为 什么 用 具有 同样 长 度 的 密 钥 进行 多 轮 维 吉 尼 亚 加 密 没有 任何 意义 ? 
4.1.07 为 什么 使 用 长 度 为 mn 的 随机 密 钼 的 维 吉 尼 亚 加 密 要 比分 别 使 用 长 度 分 别 为 m 和 
n 的 密 钥 的 两 轮 维 吉 尼 亚 加 密 好 (假设 m 和 n 互 素 ) ? 
4.1.08 如 果 每 轮 的 密 钥 长 度 都 小 于 等 于 12, 则 三 轮 维 吉 尼 亚 密码 的 最 长 有 效 密 钥 长 度 为 
多 少 ? 
4.1.09 使 用 密 钼 长 度 为 2 的 维 吉 尼 亚 密码 进行 加 密 得 到 的 密 文 为 : 
OCXJIW, JCBR JC XDQCO KFBKGDFQ GK REC XJICV， 
ZBDLPB WLS DM EMJC CPLK TMOI, XLA BLLQ RBJI YKWLLB 


使 用 穷 举 法 对 其 进行 解密 ， 把 它 当 做 两 个 分 别 移动 一 个 字符 的 移 位 密码 。 
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4.2 最 小 公 倍数 LCM 和 最 大 公约 数 GCD 
我 们 不 是 总 能 用 一 个 整数 来 除 以 另 一 个 整数 而 得 到 的 商 还 是 整数 。 例 如 用 7 除 3 得 到 的 
商 为 25 ， 而 用 12 除 3 得 到 的 商 为 4。 这 样 得 到 一 个 简单 的 定义 : 对 于 两 个 整数 d,n， 如 果 


d|n 为 整数 ， 则 称 整数 4 整除 hn 或 者 说 4 是 的 一 个 因子 )。 这 相当 于 说 ， 存 在 男 一 个 整数 
k， 满足 n= kd 。 作 为 一 种 等 价 的 说 法 ， 我们 也 可 以 说 (等 价 )， 如 果 4 整除 n， 则 称 % 是 4 的 
一 个 倍数。“ a 整除 nx” 用 符号 表示 为 : 
dln 
设 m,n 为 整数 , 而 且 都 是 非 零 的 整数 ， 则 m,n 的 最 大 公 因 子 gcd(1m,n) 为 最 大 的 正 整 数 a 
使 得 a 既 能 整除 m ， 也 能 整除 hn 。m,n 的 最 小 公 售 数 1cm(m,n) 为 最 小 的 正 整数 N 使 得 V 既是 
m 的 倍数 ， 也 是 的 倍数 。 
单词 “最 大 ”和 “最 小 ” 即 指 这 些 事物 具备 的 一 种 特性 ， 但 是 一 些 结果 还 不 清楚 。 我 们 
希望 证 明 如 下 一 个 重要 特性 ， 但 如 果 没 有 进一步 的 工作 ( 见 后 文 ) 还 无 法 证 明 它 : 
定理 ”m,n 的 最 大 公约 数 gcd(m,n) 具有 这 样 的 特性 ， 对 于 m,n 的 每 一 个 因子 e 满足 
el gcd(m,n) 。 m,n 的 最 小 公 倍 数 lem(m,n) 具有 这 样 的 特性 ， 对 于 m,n 的 每 一 个 倍数 入 满足 
lcm(m,n)|N 。 . 
素数 p 就 是 那些 不 存在 因子 4 的 整数 ， 其 中 1< 4 < p。 例 如 ， 素 数 序列 的 开始 部 分 为 : 
2,3,5,7,11,13,17,19,23,29,31,37,… 鉴于 多 方 原 因 ， 通 常 不 把 1 称 为 素数 。 我 们 在 后 面 将 要 证 明 
一 个 定理 ， 即 每 一 个 正 整 数 都 可 以 分 解 为 素数 的 乘积 ， 而 且 这 种 分 解 是 唯一 的 。 对 于 小 的 整 
数 ， 这 个 事实 或 多 或 少 对 我 们 来 说 比较 熟悉 ， 比 如 : 
12=22 .3 
35=5.7 
1001=7.11:13 
47268 =22 .32 .13.101 
对 于 小 的 整数 ， 我 们 可 以 凭 直觉 来 进行 因子 分 解 。 后 面 我 们 将 更 加 系统 地 介绍 整数 分 解 的 问 
题 ， 但 是 将 整数 分 解 为 素数 的 问题 一 直 以 来 都 是 一 个 非常 困难 的 数学 问题 。 
如 果 我 们 已 经 知道 两 个 整数 m,n 的 素 因 子 分 解 ， 那 么 我 们 就 能 够 通过 寻找 它们 的 共同 的 
素 因 子 而 很 容易 找到 它们 的 最 大 公 因 子 和 最 小 公 倍 数 。 这 不 是 一 个 最 佳 的 方法 ， 但 是 它 和 我 
们 赁 直觉 进行 因子 分 解 的 方法 一 样 。 例 如 ， 为 了 找到 12 和 15 的 最 大 公 因 数 ， 首 先 将 它们 分 
解 为 素数 乘积 ，12=22.3 和 15=3.$ ， 则 很 容易 看 出 它们 的 最 大 公 因 子 为 3。 
通常 ,对 于 每 一 个 素数 p ， 整 除 gcd(m,n) 的 p 的 方 苏 ,是 既 整 除 m 又 整除 n 的 P 的 方 甘 
的 最 小 值 。 因 为 这 一 点 对 于 所 有 的 素数 都 成 立 ， 所 以 我 们 可 以 得 到 最 大 公 因 子 的 素数 分 解 。 
举 … 个 较 大 的 例子 ; 
ged(23.35.$2 .1132.53 .72.112)=32.$2.11 
因为 2" 是 出 现 的 2 的 两 个 方 赛 中 较 小 的 一 个 ,3? 是 出 现 的 3 的 两 个 方 罕 中 较 小 的 一 个 ， 5 是 
出 现 的 5 的 两 个 方 赛 中 较 小 的 一 个 ，72 是 出 现 的 7 的 两 个 方案 中 较 小 的 一 个 ，1L 是 出 现 的 
11 的 两 个 方 窜 中 较 小 的 一 个 。 
类 似 地 ， 最 小 公 倍 数 是 通过 在 m,n 的 因子 分 解 中 寻找 每 一 个 素数 的 两 个 方 罕 中 较 大 的 一 
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个 得 到 的 。 
在 后 面 我 们 将 会 看 到 ， 认 识 到 存在 一 个 更 好 的 方法 来 计算 最 大 公 因 子 或 者 最 小 公 倍 数 这 
一 点 很 重要 。 


习题 


4.2.01 求 12 和 15 的 最 大 公 因 子 和 最 小 公 倍 数 。 
4.2.02 求 15 和 18 的 最 大 公 因 子 和 最 小 公 倍数 。 
4.2.03 求 15 和 21 的 最 大 公 因 子 和 最 小 公 倍 数 。 
4.2.04 求 18 和 24 的 最 大 公 因子 和 最 小 公 倍 数 。 
4.2.05 求 19 和 23 的 最 大 公 因 子 和 最 小 公 倍 数 。 
4.2.06 求 31 和 47 的 最 大 公 因 子 和 最 小 公 倍 数 。 
4.2.07 求 24 和 36 的 最 小 公 倍 数 。 

4.2.08 求 231 和 343 的 最 大 公 因 子 。 

4.2.09 求 5609 和 5767 的 最 大 公 因 子 。 

4.2.10 求 51051 和 55913 的 最 大 公 因 子 。 


4.3 Kasiski 攻击 


在 任何 针对 维 吉 尼 亚 密码 的 唯 密 文 攻击 中 , 确定 密 钥 的 长 度 是 一 个 非常 基本 的 问题 。( 即 
使 已 知 密 钥 的 长 度 m ， 并且 将 密 文 当 作 m 个 混杂 移 位 密码 的 集合 , 敌意 的 解密 仍然 比 使 用 单 
个 移 位 的 密码 要 困难 ， 因 为 对 于 两 两 不 相 邻 的 字符 串 ， 很 难说 出 什么 时 候 解 密 是 正确 的 !1) 

针对 维 吉 尼 亚 密码 的 一 个 有 创造 性 的 攻击 方法 是 Kasiski 攻击 或 者 Kasiski 测试 , 它 的 目 
标 是 准确 判定 密 钥 的 长 度 (Friedrich Kasiski, 1863)。 这 种 攻击 决 不 保证 一 定 成 功 ， 而 且 它 最 
多 只 能 获得 一 些 有 限 的 信息 〈 仅 仅 只 是 密 钥 的 长 度 )。 实 际 上 ，Kasiski 攻击 的 这 些 特殊 特征 
也 是 更 严格 的 密码 分 析 中 所 特有 的 ， 因 此 在 这 个 方面 ，Kasiski 攻击 是 有 代表 性 的 。 

如 果 明 文中 的 两 个 三 字母 组 出 现 的 间隔 是 密 钥 长 度 的 一 定 倍数 ， 则 它们 在 密 文 中 将 被 加 
密 成 为 同样 的 三 字母 组 。 因 此 , 如 果 在 密 文 中 的 两 个 相同 的 三 字母 组 是 因为 这 个 原因 而 生成 ， 
则 它们 通过 一 定 长 度 的 间隔 分 开 ， 这 个 间隔 是 密 钥 长 度 的 整数 倍数 。 因 此 我 们 在 密 文中 寻找 
多 次 出 现 的 三 字母 组 ， 并 确定 它们 的 间隔 距离 就 是 密 铀 长 度 的 整数 倍数 ， 

这 个 方法 的 正确 之 处 在 于 ， 如 果 在 明文 中 存在 两 个 三 字母 组 ， 它 们 的 间隔 距离 为 密 钥 长 
度 的 整数 倍数 ， 则 这 个 倍数 将 会 出 现在 密 文 的 同样 的 三 字母 组 的 间隔 距离 列表 中 。 但 是 这 里 
至 少 存 在 两 个 问题 。 首 先 ， 如 果 密 文 太 短 ， 则 同样 的 三 字母 组 出 现 两 次 或 两 次 以 上 ， 且 间隔 
距离 正好 是 密 钥 的 整数 倍数 的 几率 就 非常 小 。 第 二 ， 如 果 密 文 太 长 ， 则 这 种 几率 就 会 比 因为 
别 的 原因 而 使 得 出 现 同样 的 三 字母 组 的 几率 要 大 得 多 (不 因为 它们 是 同样 的 三 字母 组 的 密 
文 ， 其 出 现 间隔 是 密 钥 长 度 的 倍数 )。 

这 种 方法 的 一 个 具体 实现 如 下 。 对 于 密 文 中 多 次 出 现 的 每 一 个 三 字母 组 ， 我 们 计算 它们 
每 次 出 现 的 所 有 间隔 距离 的 最 大 公 因 子 。 如 果 这 个 最 大 公 因 子 比 1 大 ， 则 我 们 列 出 该 三 字母 
组 以 及 相应 的 最 大 公 因子 。 然 后 我 们 猜测 密 钥 的 长 度 至 少 是 其 中 一 个 最 大 公 因 子 的 一 个 因 
子 。 让 我 们 来 看 在 不 同情 况 下 Kasiski 攻击 是 如 何 进行 的 : 

例如 ， 考 察 下 列 明文 : 
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friendinthecomputerbusinesssentmeth 
isiwonderwhatthenetworkserviceschec 
kingmodementeredpasswordsforcrackab 
ilityorfromthewallstreetjournalemai 
lsnoopingisokintheeyesofthelawarece 
ntusdistrictcourtdecisioninpennsylv 
使 用 密 钥 长 度 为 2 的 维 吉 尼 亚 密码 加 密 且 密 钥 为 a8 ， 可 以 得 到 如 下 密 文 ; 
FSIFNEIOTIEDONPVTFRCUTIOETSTEOTNEUH 
JSJWPNEESWIAUTIEOEUWPRLSFRWIDETCIED 
KJNHMPDFMFNUESEEPBSTWPRESGOSCSADKBB 
JLJTZOSFSONTIEXAMLTTSEFTKOVROAMENAIJ 
LTNPOQIOGJSPKJINUHFEZETOGTIEMAXASEDE 
OTVSEITTSIDTDOVRUDFCJSJOOIOPFNOSZLW 
在 出 现 两 次 以 上 的 三 字母 中 ， 我 们 来 求 间隔 距离 的 最 大 公 因 子 ， 
TIE :4 
EOT :146 
OVR :; 58 


很 明显 ，2〈 密 钥 长 度 ) 能 够 整除 这 些 最 大 公 因 子 中 的 大 多 数 ,但 是 其 中 一 个 gcd 为 27。 


使 用 密 钥 长 度 为 3 的 维 吉 尼 亚 密码 ， 密 钥 为 abc ， 得 到 密 文 为 : 
FSKEOFIOVHFEONRUUGRCWSJPETUSFPTNGTT 


KSJYOOFESYHBVTIGNFVWPTKTGRWKCFUCIGC 

LKNHOOEGMFPTFTEERATUWPTDTHOSERBEKBD 
IMKTZQRGTONVHFYAMNSUTEFVJPWROCLFOAJ 
NSOQOQKNHKSPMIOVHFGYFUOGVHFNAXCRFEE 
OVUTFITVRJETDQUSVDFEITKOOKNQGNOUYMX 


在 出 现 两 次 以 上 的 三 字母 组 中 ， 我 们 找 出 间隔 距离 的 最 大 公 因 子 如 下 : 


OF : 147 
KNH : 75 
VHF :3 

EPT : $1 
OvH : 147 
WPT : 36 


很 明显 ，3〈 密 钥 长 度 ) 整除 这 些 最 大 公 因子 。 使 用 密 钥 长 度 为 4 的 维 吉 尼 亚 密码 ， 密 
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钥 为 abcd ， 得 到 密 文 为 : 
FSKHNEKQTIGFONRXTFTEUTKQETUVEOVPEUj 
LSJYRNEGUWICWTIGQEUYRRLUHRWKFETEKED 
MLNHORDFOHNUGUEERDSTYRREUIOSEUADMDB 
JNLTZQUFSQPTIGZAMNVTSGHTKQXROCOENCL 
LTPROQKQGJURKJPWHFGBETQITIGOAXCUEDG 
QTVUGITVUIDVFOVTWDFELSJQQIORHNOUBLW 
在 出 现 两 次 以 上 的 三 字母 级 中 ， 我 们 找 出 间隔 距离 的 最 大 公 因 子 如 下 : 
TIG : 4 
LSJ : 160 
TKO : 107 
YRR : 36 
TVU : 5 
这 里 ， 密 钥 长 度 〈 即 4) 仅仅 只 整除 所 有 五 个 gcd 中 的 三 个 ， 还 是 不 很 明确 。 但 是 使 用 
另 一 个 长 度 仍然 为 4 的 不 同 的 密 钥 abcx 进行 维 吉 尼 亚 加 密 ， 可 以 得 到 密 文 为 : 
FSKBNEKKTIGZONRRTFTYUTKKETUPEOVJEU]J 
FSJYLNEGOWICQTIGKEUYLRLUBRWKZETEEED 
MFNHOLDFOBNUGOEERXSTYLREUCOSEOADMXB 
JNFTZQOFSQJTIGTAMNPTSGBTKQRROCIENCF 
LTPLOQKKGJULKJPQHFGVETQCTIGIAXCOEDG 
KTVUAITVOIDVZOVTQDFEFSJQKIORBNOUVLW 
在 出 现 两 次 以 上 的 三 字母 组 中 ， 我 们 找 出 间隔 距离 的 最 大 公 因 子 如 下 : 


TG : 4 
YLR : 36 
FSJ : 160 


这 里 , 密 钥 长 度 ( 即 4) 能 够 整除 所 有 的 gcd 。 因 此 , 似乎 在 上 一 段落 中 的 “不 好 的 ”gcd 
是 “运气 不 好 ”造成 的 结果 。 使 用 密码 长 度 为 5 的 维 吉 尼 亚 密 码 ， 密 钥 为 abcde ， 可 以 得 到 
密 文 为 ; 
FSKHRDJPWLEDQPTUUGUFUTKQISTUHRTNGWL 
ITKZSNEGUAHBVWLEOGWAOSMVIRWKFISDJHG 
KJPJQOEGPINUGUIDQCVWWPTGWFPTFVADMDF 
IMKWCOSHUSMUJHAAMNVXRFGWNOVTQELFODM 
LTPRSPJPJMSPMLRTIGHCETQIXHFNDAASGFI 
NUWVHITVUMCUERYRUFHGITKRRIORHRNTAOZ 
在 出 现 两 次 以 上 的 三 字母 组 中 ， 我 们 找 出 间隔 距离 的 最 大 公 因子 如 下 : 


UGU : 65 
WLE : 40 
JPJ :75 


ITIK :160 
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这 里 ， 密 钥 长 度 〈 即 5) 
钥 为 abcdef ， 得 到 gcd 为 : 


这 里 ， 密 钥 长 度 〈 即 6) 只 


密 钥 abcdex ， 得 到 gcd 为 : 


INU : 95 


VMS 107 
VXW : 53 
WPT : 36 
VKIT :12 
能 整除 其 中 两 个 gcd 。 
WPT : 36 
VK : 12 


能 够 整除 所 有 的 geq 。 使 用 密码 长 度 为 6 的 维 吉 尼 亚 密码 ， 密 


但 是 使 用 一 个 长 度 仍然 为 6 的 不 同 的 


则 这 两 个 gcd 都 能 够 被 密 钥 长 度 6 所 整除 。 使 用 密码 长 度 为 7 的 维 吉 尼 亚 密 码 ， 密 钥 为 


abcdefe ， 得 到 gcd 为 : 


NUJ : 147 
-UH :147 
ONU : 147 
MKW : 11 
PHW : 139 


前 面 三 个 gcd 可 以 被 密 钥 长 度 7 所 整除 ， 但 是 后 面 两 个 不 行 。 使 用 长 度 为 7 的 另 一 个 密 


钥 abcdefr ， 得 到 gcd 为 : 


(第 三 个 gcd ， 即 139 不 能 被 7 整除 )， 


NUJ : 147 
FNU : 147 
UJH : 147 
PHW: 139 


OSF :31 
NUJ :147 
FNU : 147 
UJIH : 147 
-PVV : 191 


使 用 第 三 个 密 钥 abcdixxx ， 可 以 得 到 gcd 为 : 


31 和 191 还 是 不 能 被 7 所 整除 。 使 用 长 度 为 8 的 密 钥 abcdefgh ， 可 以 得 到 gcd 为: 


TG : 40 


XMK: 48 . 


LWN : 160 
ORF : 127 


密 钥 长 度 8 可 以 整除 四 个 gcd 中 的 三 个 。 使 用 密 钥 长 度 为 9 的 密 钥 abcdefghi， 可 以 得 到 


gcd 为 : 


VMS : 107 
BHF : 108 
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YAZ : 53 
JWU : 75 
WPT : 36 
VKI :9 
密 钥 长 度 9 可 以 整除 六 个 gcq 中 的 三 个 。 使 用 密 钥 长 度 为 10 的 密 钥 abcdefghij ， 可 以 得 
到 gcd 为 ; 
OIX : 139 
BOF : 40 
NYP : 160 
密 钥 长 度 10 可 以 整除 六 个 gea 中 的 三 个 。 使 用 密 钥 长 度 为 11 的 密 钥 abcdefghijk ， 可 以 
得 到 gcd 为 : 
GOS : 50 
CIO : 87 
这 表明 ， 在 明文 中 不 存在 三 字母 组 使 得 其 间隔 距离 是 11 的 整数 倍数 。 因 此 ， 使 用 密 钥 
长 度 为 11 的 密 钥 对 这 种 特殊 的 明文 进行 的 任何 加 密 都 不 会 遭受 Kasiski 攻击 。 不 幸 的 是 ， 使 
用 密 钥 长 度 为 13 的 密 钥 abcdefghijkm ， 我 们 可 以 得 到 gca 为 : 


FHF : 39 
WMW : 35 
BOO : 156 
WW : 65 


密 负 长 度 13 可 以 整除 所 有 的 gcd 。 
习题 


4.3.01 假设 (不 真实 的 ， 但 是 为 了 简单 起 见 ) 所 有 26 个 字符 在 一 个 长 度 为 NN 的 字符 串 
中 出 现 的 概率 是 相等 的 。 对 于 正 整 数 m ， 两 个 相同 的 字符 串 出 现 的 间隔 距离 不 是 m 的 任何 倍 
数 的 概率 《作为 m 入 的 函数 ) 为 多 少 ? 

4.3.02 假设 (不 真实 的 ， 但 是 为 了 简单 起 见 ) 所 有 26 个 三 字母 在 一 个 长 度 为 NN 的 字符 
串 中 出 现 的 概率 是 相等 的 。 对 于 正 整数 m ， 两 个 相同 的 三 字母 组 出 现 的 间隔 距离 不 是 m 的 倍 
数 的 概率 (作为 m 和 NN 的 函数 为 多 少 ? 

4.3.03 同时 参考 上 面 两 个 练习 题 : 如果 我 们 承认 ， 实 际 上 一 些 字母 和 三 字母 组 比 其 他 的 
更 容易 出 现 ， 则 两 个 相同 的 字符 串 出 现 的 间隔 距离 不 是 m 的 倍数 的 概率 是 增加 还 是 降低 ? 

4.3.04 不 使 用 三 字母 ， 而 使 用 单个 字符 来 进行 Kasiski 攻击 是 否 合理 ? 

4.3.05 为 什么 对 由 一 串 “ 随 机 ”字符 组 成 的 明文 的 加 密 进 行 Kasiski 攻击 是 一 种 思春 的 
行为 ? 

4.3.06(*) 使 用 几 个 短 密 钥 (但 是 它们 的 lem 很 大 ) 的 多 轮 维 吉 尼 亚 密码 与 具有 长 度 等 于 
各 单个 密 钥 长 度 的 lem 的 单个 “随机 ” 密 钥 的 单 轮 维 吉 尼 亚 密码 相 比 ， 是 否 更 易 受 到 Kasisiki 
攻击 ? 

4.3.07(*) 有 一 种 Kasisiki 攻击 的 变种 : 在 密 文中 寻找 那些 在 普通 的 英文 中 最 不 常见 的 字 
符 ， 并 计算 这 些 字符 出 现 的 间隔 距离 的 最 大 公 因 子 。 然 后 猜测 密 钥 长 度 应 该 整除 这 些 最 大 公 
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因子 的 大 多 数 。 这 是 合理 的 吗 ? 

4.3.08(*) 如 果 我 们 对 一 个 明文 进行 Kasisiki 攻击 结果 意味 着 什么 ? Kasisiki 攻击 如 何 说 
明 一 个 文本 是 已 经 被 加 过 密 的 ? 

4.3.09(*) 从 根本 上 说 为 什么 Kasisiki 攻击 能 够 工作 ? 

4.3.10(*) 请 量化 密 文 的 大 小 对 Kasisiki 攻击 的 效果 造成 的 影响 。 


4.4 ”期 望 值 


设 Q={@,…,0,) 为 样本 空间 ， 其 “原子 ”事件 为 wm ， 且 其 概率 为 p, 。 在 集合 QQ 上 定义 
的 一 个 实 值 函 数 基 被 称 为 一 个 随机 变量 。( 实 际 上 ,通常 允许 随机 变量 具有 更 加 一 般 的 数值 ， 
例如 复数 或 者 向 量 ， 但 是 对 我 们 来 说 ， 实 值 随机 变量 就 足够 了 .。 ) 

至 少 根据 惯例 ， 因 为 通常 用 /来 表示 函数 ， 所 以 我 们 用 来 表示 随机 变量 ， 这 样 可 能 与 
通常 使 用 的 针对 《〈 非 随机 ? )“ 变 量 ” 的 x 更 加 协调 一 致 。 此 外 , 传统 上 将 无 的 值 表示 为 x 与 
微 积 分 的 惯例 相 冲 突 )。 而 且 ， 在 使 用 字母 已 来 表示 “加 密 ” 上 也 有 些 冲 突 。 上 下 文 会 明确 
符号 的 真正 含义 。 

对 于 蕊 的 一 个 可 能 值 x， 我 们 将 符号 表示 扩展 为 : 

P(X =x)=P({w e QQ:X(w)=x}) 
也 就 是 ，XX=x 的 概率 被 定义 为 Q 中 满足 人 =x 的 子 集 的 概率 。 此 类 随机 变量 的 期 望 值 被 定 
义 为 : 
E(X)= Pi- X(O)+ py XC) + +t pn (Wn) 
当然 ， 通 过 进行 大 量 的 输出 结果 为 mi ,w@; ,…,w,， 的 独立 试验 之 后 ， 它 们 的 平均 值 


XO) + XO ) t+ X00) 


将 非常 “接近 于 ”E(XX) 。 但 是 这 个 观点 和 类 似 的 思想 具有 同样 的 局 限 性 ， 即 概率 是 一 种 有 
限 的 频率 。 
从 直觉 上 的 内 容 看 ， 这 种 思想 最 简单 的 模型 来 源 于 赌博 。 例 如 ,假设 Alice 和 Bob (“A” 
和 “B”) 具有 一 个 公平 的 硬币 《意味 着 硬币 的 正面 和 反面 的 概率 都 是 0.5)， 且 赌博 规则 是 : 
如 果 硬 币 的 “正面 彰 上 上 ，Alice 付 给 Bob 一 美元 ， 如 果 硬 币 “ 反 面 ” 朝 上 , 则 Bob 付 给 Alice 
一 美元 。 直 觉 告 诉 我 们 这 是 公平 的 ， 而 且 下 面 期 望 值 的 计算 也 确证 了 这 一 点 。 样 本 空间 为 
QQ={w0,09} 《下 标 0 代表 正面 ， 下 标 1 代表 反面 )， 每 一 点 都 具有 0.5 的 概率 。 设 X 为 指出 
Alice 获胜 〈 或 者 失败 ) 的 随机 变量 ， 
X(@0)=-l 
X(0)=+1 
则 X 的 期 望 值 ， 即 Alice 期 望 的 收益 为 : 
E(X)=0.5:(-D)+0.5:(+1)=0 
通常 ， 在 一 个 公平 的 赌博 中 ， 每 一 个 人 的 期 望 值 都 为 0。( 这 种 观点 的 关键 之 处 是 什么 ? 
可 能 对 于 概率 的 理解 不 一 样 。) 
通常 ， 一 个 期 望 值 比 极其 天 真 的 “平均 ”的 思想 要 复杂 得 多 ， 意 识 到 这 一 点 很 重要 。 例 
如 ， 假 设 我 们 在 0-10 之 间 随 机 选择 一 个 整数 ， 并 对 其 进行 平方 。 设 定 概率 相等 ， 则 该 平方 
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值 的 期 望 值 为 : 
Lo Lr...+ L107 = L1385=38.5 
10 10 10 10 
通过 首先 计算 0- 10 的 平均 值 ( 即 5.5)， 然 后 对 其 平方 ( 即 30.25) 得 到 期 望 值 的 方法 是 错误 
的 。 
命题 设 世 和 7 是 样本 空间 Q = fo,…,@o,} 上 的 两 个 随机 变量 ， 每 一 个 元 素 的 概率 为 
P(w)) = p;。 随 机 变量 之 和 针 + 了 被 定义 如 下 : 
(X+7)(w;)= X08;)+Y(0,) 
则 有 : 
E(X+Y)=E(X)+E(Y) 
证 明 这 可 从 定义 直接 计算 得 到 : 
ECX+ 站 =2 p(X(0,)+Y(0,)) 


= > PX()+》 PTw)= E(X)+E(Y) 
于 是 命题 得 到 了 证 明 。 全 
命题 ” 设 瑟 是 样本 空间 fo，……w,} 中 的 一 个 随机 变量 , 每 个 元 素 的 概率 为 P(w,)= p,。 设 
c 为 一 个 常数 ， 定 义 随机 变量 eX 为 eX(w)=c-XY(w)， 则 E(cX)=c.E(X)。 
证 明 这 可 从 定义 直接 计算 得 到 : 
E(cX)= > PicX(oi)=c》 piX(w)=c:E(X) 
命题 得 证 。 全 
设 Q 为 一 个 样本 空间 ，XX 和 了 是 样本 空间 Q 上 的 两 个 随机 变量 。 定 义 该 样本 空间 上 乘 
积 随机 变量 XY 为 : 
(XY)(®)= X(O(w) 
如 果 对 于 ,7 的 每 一 对 x,y 的 可 能 值 有 下 式 成 立 ， 则 这 两 个 随机 变量 是 独立 的 随机 变量 : 
P(X=xHY=y)= P(X=x):.P(Y = y) 
(这 种 独立 性 定义 是 对 前 面 有 关 事 件 独立 性 定义 的 一 种 解释 。) 
如 果 没 有 独立 性 的 前 提 假 设 ， 下 面 的 命题 通常 不 是 正确 的 。 
命题 ”对 于 样本 空间 QQ 上 的 两 个 独立 的 随机 变量 X, 7 ， 乘 积 的 期 望 值 为 期 望 值 的 乘积 ， 
E(XY)= E(X).E(Y) 
证 明 “乘积 的 期 望 值 的 定义 为 : 
E(XY)= 》P(o)XT7(ow) 


well 


根据 XY 的 定义 ， 有 
> P(O)X(oO)F(w) 


weQ 
为 了 证 明 命 是 的 正确 性 ， 最 好 使 用 上 面 所 引用 的 符号 ; 令 x 取 遍 X 的 所 有 可 能 值 ，y 取 遍 Y 
的 所 有 可 能 值 ， 则 我 们 可 以 根据 多 和 了 的 值 ， 通 过 分 组 的 方法 重新 整理 期 望 值 : 
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2》 >》 Po)X(o)7(o) 


其 中 对 于 固定 的 (x,y) ， 内 和 超过 了 cw， 且 使 得 : 
X(w)=x8Y(W)=y 
然后 ， 使 用 新 的 符号 来 重新 表示 为 : 
= ,P(X=x 有 Y=y)y 


独立 性 的 假设 准确 地 说 应 该 是 : 
P(X=xHY=»)=P(X=x):P(Y=y) 
因此 表达 式 变 为 : 
2 P(X = PY = yy 


现在 我 们 就 可 以 将 其 分 解 为 乘积 ， 从 而 得 到 希望 的 结论 : 
= P(X = x)x: DP(Y = Wy=E(X) EY) 


这 就 证 明了 命题 。 4 

当 进 行 〈 使 用 同一 个 试验 ) 几 次 独立 试验 时 ， 就 会 引起 独立 随机 变量 的 一 种 重要 情况 。 
设 Q 为 样本 空间 。 考 虑 N 次 独立 的 试验 ， 并 考虑 下 列 乘积 由 @ 中 的 有 序 的 NN 元 组 元 素 组 成 : 

AQ =OQx.…xQ 
N 

设 为 Q” 上 的 随机 变量 ， 其 值 只 取决 于 第 i 次 试验 的 结果 。 因 此 ， 对 于 iz# j ， 两 个 随机 变 
量 访 入 ,是 相互 独立 的 。 
习题 

4.4.01 如 果 短 中 有 3 个 红 球 和 7 个 黑 球 ， 在 20 次 试验 〈 每 次 试验 中 无 论 取出 什么 球 都 
放 回 去 ) 中 取出 红 球 的 期 望 值 是 多 少 ? 

4.4.02 如 果 乌 中 有 5 个 红 球 和 9 个 黑 球 ， 在 10 次 试验 〈 每 次 试验 中 无 论 取 出 什么 球 都 
放 回 去 ) 中 取出 红 球 的 期 望 值 是 和 多少? 

4.4.03 如 果 饶 中 有 2 个 红 球 和 13 个 黑 球 ， 在 30 次 试验 〈 每 次 试验 中 无 论 取 出 什么 球 都 
放 回 去 ) 中 取出 红 球 的 期 望 值 是 多 少 ? 

4.4.04 投 撞 一 枚 公平 硬币 ， 正 面 朝 上 的 期 望 次 数 〈 在 任意 一 次 背面 朝 上 之 前 ) 为 多 少 ? 

4.4.0S 投掷 一 枚 通常 正面 朝 上 的 几率 为 1/3 的 硬币 ， 正 面 朝 上 的 期 望 次 数 〈 在 任意 一 次 
背面 朝 上 之 前 》 为 多 少 ? 

4.4.06 投掷 一 枚 通常 正面 朝 上 的 几率 为 3/4 的 硬币 ， 正 面 朝 上 的 期 望 次 数 〈 在 任意 一 次 
背面 朝 上 之 前 ) 为 多 少 ? 

4.4.07 投掷 一 枚 通常 正面 朝 上 的 几率 为 3/5 的 硬币 ， 正 面 朝 上 的 期 望 次 数 〔 在 任意 一 次 
背面 朝 上 之 前 ) 为 多 少 ? 

4.4.08 抛 出 一 枚 硬币 ， 在 出 现 正面 朝 上 之 前 期 望 的 抛掷 次 数 为 多 少 〈 使 用 公平 硬币 ) ? 

4.4.09 抛 出 一 枚 硬币 ， 在 连续 出 现 两 次 正面 朝 上 之 前 期 望 的 抛 郊 次 数 为 多 少 ? 
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4.4.10 在 一 个 随机 的 字符 流 中 ， 其 中 字母 e 出 现 的 概率 为 11% ， 则 两 个 e 之 间 的 期 望 点 
离 是 多 少 ? 

4.4.11 在 一 个 随机 的 字符 流 中 ， 其 中 字母 e 出 现 的 概率 为 11% ， 则 两 个 ee 之 间 的 期 望 距 
离 是 多 少 ? 

4.4.12 设立 为 一 个 随机 变量 ， 将 其 定义 为 “在 10 次 抛掷 一 个 公平 硬币 中 正面 朝 上 的 次 
数 ”。 样本 空间 为 抛 10 次 硬币 的 结果 组 成 的 所 有 2" 个 不 同 的 可 能 序列 。 站 本身 的 期 望 值 为 
5， 那 么 随机 变量 (X-5)* 的 期 望 值 为 多 少 ? 

4.4.13 抛 抑 硬 币 直到 连续 出 现 产 次 正面 彰 上 ， 在 这 种 情况 下 期 望 的 抛 搓 次 数 为 多 少 ? 

4.4.14(*) 在 间隔 [04] 中 “随机 ”选择 两 个 实数 ， 它 们 的 乘积 的 期 望 值 为 多 少 ? 
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本 节 介 绍 几 种 使 得 一 类 古典 密码 失效 的 方法 ， 因 为 它们 很 容易 受到 唯 密 文 攻击 。 直 到 19 
世纪 了 晚期， 人们 还 广泛 认为 多 表 (周期 的 ) 代 蔡 密码 〈 例 如 维 吉 尼 亚 密码 ) 是 安全 的 。 但 是 
重合 指数 [William Friedman，1925] 是 一 种 针对 周期 性 代替 密码 的 确定 性 攻击 方法 。 特 别 是 它 
可 以 完全 破解 维 吉 尼 亚 密码 : 它 猜测 密 钥 长 度 的 效率 比 Kasiski 攻击 要 高 ， 而 且 对 于 给 定 的 
密 钥 长 度 , 它 能 很 好 地 猜测 出 密 钥 ,还 非常 适应 于 自动 执行 。 实际 上 ,在 第 二 次 世界 大 战 中 ， 
许多 机 械 的 和 电子 的 设备 都 实现 了 这 个 方法 ， 它 们 在 大 战 中 起 到 了 至 关 重 要 的 作用 。 

周期 的 代替 密码 是 容易 受到 攻击 的 一 类 密码 。 移 位 密码 和 仿 射 密码 都 是 单 表 代 替 密 码 的 
例子 ， 尽 管 在 这 两 种 情况 下 ， 代 替 具 有 特殊 的 形式 。 维 吉 尼 亚 密码 是 一 种 多 表 代替 密码 。 

对 于 任意 周期 的 代替 密码 ， 本 节 的 方法 在 次 定 密 钥 长 度 上 是 有 效 的 。 我 们 还 将 探讨 如 何 
利用 维 吉 尼 亚 密码 的 特殊 脆弱 性 ， 并 给 出 对 它 的 一 个 完全 的 唯 密 文 攻击 。 

迄今 为 止 ， 在 对 维 吉 尼 亚 密码 的 唯 密 文 攻击 中 ， 即 使 我 们 能 够 使 用 Kasiski 攻击 来 很 好 
地 猜测 密 钥 长 度 ， 与 移 位 密码 或 者 仿 射 密码 相 比 较 ， 剩 下 的 解密 任务 也 还 是 相当 困难 的 。 如 
果 密 钥 长 度 为 m ， 则 《理论 上 〉 存 在 26” 个 可 能 的 密 钥 。 

当然 ， 如 果 我 们 认为 密 钥 不 是 一 个 由 mm 个 字符 组 成 的 随机 字符 串 ， 而 是 一 个 例如 在 英语 
中 有 意义 的 一 个 短语 ， 则 有 效 的 密 钥 数量 将 会 小 的 多 。 此 外 ， 即 使 不 知道 密 钥 的 长 度 ， 由 于 
的 教授 的 名 字 作 为 密 

， 所 以 有 效 的 密 钥 空间 相对 较 小 。 不 需要 尝试 26" 或 更 多 个 密 钥 ， 我 们 只 4 需要 生成 一 个 短 
得 和 的 最 有 可 能 的 密 胃 列 雪 好 可 这 就 是 字典 攻击 。 

但 是 我 们 希望 一 个 唯 密 文 攻击 不 仅仅 依赖 于 坏 密 钥 ， 即 使 我 们 较 好 地 猜测 到 密 钥 长 度 为 
m ， 我 们 也 还 必须 考虑 26” 个 密 钥 。 下 列 明 文字 符 都 被 移动 了 相同 的 位 数 ( 对 于 任何 给 定 的 
下 标 i )， 这 个 明文 片段 就 不 容易 被 识别 出 来 。 
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也 就 是 说 ， 我 们 不 外 仅仅 将 密 钥 长 度 为 加 的 纵 守 局 和 密码 当 作 m 个 不 同 的 移 位 密码 来 对 竺 
(如 果 能 够 的 话 ， 则 事情 变 得 容易 的 多 ， 因 为 使 用 唯 密 文 攻击 很 容易 破解 移 位 密码 )。 而 且 ， 
我 们 能 够 根据 明文 语义 上 的 连贯 性 ， 就 能 够 说 出 我 们 是 什么 时 候 获 得 了 真正 的 明文 :如果 一 
个 所 谓 的 解密 给 出 一 个 明显 不 是 英文 的 字符 流 ， 我 们 就 会 拒绝 接受 。 如 果 我 们 仅仅 考查 明文 
中 的 一 小 段 ， 则 这 个 标准 是 不 适用 的 。 

例如 ， 从 下 列 明文 中 : 
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friendinthecomputerbusinesssentmethisiwonderwhatthenetworkserviceschec 
kingmodementeredpasswordsforcrackabilityorfromthewallstreetjoumalemai 
isnoopingisokintheeyesofthelawarecentusdistrictcourtdecisioninpennsylv 
每 隔 八 个 字符 取出 一 个 字符 ， 考 察 得 到 的 结果 是 否 明显 是 英文 : 
ftteentrennsobfateokeatidil 
不 ， 绝 对 不 会 。 一 段 英 文中 的 单字 母 频率 应 该 和 普通 英语 〈 至 少 如 果 此 段 英 文 足够 长 ) 中 一 
样 。( 双 字母 和 三 字母 肯定 被 打 乱 了 。) 
同 Kasiski 方法 神 有 地 分 离 出 一 小 段 特殊 信息 一 样 ， 我 们 将 要 介绍 的 Friedman 的 重合 指 
数 每 次 也 仅 能 解决 问题 的 一 小 部 分 这 也 使 得 我 们 一 次 可 以 解密 一 小 部 分 。Kasiski 的 方法 可 
以 被 看 作 是 Friedman 的 方法 的 一 个 粗略 形式 。 
给 定 两 个 字符 流 ， 具 有 同样 的 长 度 : 


y= (yo YN) 


z=(20,21,""*, ZN) 
则 其 重合 指数 为 : 
N 
10%5) = D50%2) 
i=0 
四 1 (y; = 27) 
寺中 ， 0 an (9; #2) 


因此 ， 如 果 这 两 个 字符 流 是 相同 的 ， 则 重合 指数 就 是 1。 
如 果 一 个 或 者 两 个 ) 字符 流 是 完全 随机 的 ， 则 我 们 期 望 重合 指数 大 约 为 < =0.038， 


从 直觉 上 来 说 这 是 比较 合理 。 毕 况 ， 如 果 所 有 的 字符 都 是 随机 的 ， 那 么 两 个 处 于 第 i 个 位 置 
的 字符 匹配 的 概率 就 是 1126， 则 期 望 重 合 指数 大 约 为 : 
orl wl 
index =26 —— 26 =-— 26-1 
N N 26 
如 果 两 个 字符 串 都 具有 典型 英语 的 频率 分 布 ， 那 么 我 们 就 可 以 计算 出 重合 指数 的 期 望 值 大 约 
就 是 0.067 〈 或 者 稍微 高 一 些 )。 下 面 我 们 将 看 到 这 个 数字 是 怎么 得 到 的 。 
命题 设 忆 为 一 个 任意 的 代替 密码 ， 对 于 两 个 明文 字符 流 y 和 2z 及 任意 密 钥 大， 如 果 它 
们 都 使 用 密 钥 进行 加 密 ， 则 重合 指数 7(y,z) 不 会 改变 ， 即 有 ， 
T(Ei(y), Ei(2) = 71(y,7) 
证 明 ”这 个 证 明 很 容易 。 在 明文 字符 流 中 ， 如果 y, =z,， 则 有 EL(y) = (zi) 。 因 为 除了 
密 铀 上 和 位 置 点 以外， 加 密 并 不 取决 于 其 他 任何 事物 。 全 
这 里 有 一 个 关于 具有 特定 优点 的 重合 指数 的 概率 描述 注意 , 如 果 我 们 有 1 个 长 度 为 六 的 
不 同文 本 , 而 且 我 们 想 要 计算 它们 中 每 两 个 之 间 的 重合 指数 , 那么 , 我 们 就 必须 比较 1(1 -1)/2 
对 文本 。 如 果 我 们 按照 上 述 方法 来 计算 重合 指数 ， 那 么 就 意味 着 必须 检查 .1(1 -1)/2 对 字符 
是 否 相 等 。 如 果 N 很 大 ， 就 会 使 得 计算 量 很 大 。 更 合适 的 方法 是 ， 我 们 可 以 根据 两 份 文本 中 
单字 符 的 频率 ， 该 频率 也 可 视 为 概率 ， 来 计算 重合 指数 的 期 望 值 ， 具 体 方法 如 下 。 
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假设 在 范围 0~ -25 内 的 字符 i 对 应 的 概率 为 p; , 给 定 - -个 正 整数 N。 我 们 考虑 所 有 长 度 
为 NN 的 字符 流 y=(%…,ypw ji) 的 样本 空间 QVy， 字 符 流 y=(y0,…,yw_i) 出 现 的 概率 为 : 
P(y)= py py *** Py,, 
也 就 是 说 ,我 们 假设 这 些 字 符 流 是 由 一 些 以 概率 p; 生成 字符 i 的 “ 源 ” 所 “产生 ”的 ， 因 此 
第 ;个 字符 的 生成 与 前 面 字符 的 生成 是 完全 独立 的 。 设 p! 为 另 一 个 〈 可 能 不 同 的 ) 概率 赋值 ， 
且 @w 为 相应 的 由 长 度 为 六 的 字符 流 所 组 成 的 样本 空间 ， 字 符 流产 生 的 概率 为 : 
P(y) = py py '** Py, 
命题 在 QwyxQ% 上 定义 一 个 随机 变量 XX 如 下 : 
X(y,z) = 1(y,z) = y,z 的 重合 指数 
则 天 的 期 望 值 EX 可 以 通过 下 面 的 公式 计算 : 


证 明 随机 变量 X 可 以 表示 为 : 
N-l 
X(y,2) = YX,(y,7) 


j=0 
其 中 ， 随 机 变量 半 , 被 定义 为 : 

Xj(y,2)= 6(y),2)) 
而 这 里 的 5 定义 为 : 

1 ;=2)) 

| (yj *2)) 
因为 在 字符 流 的 不 同位 置 对 字符 的 选择 是 独立 的 ， 所 以 这 些 随机 变量 都 是 独立 的 。 因 此 ， 跟 
上 面 观 察 的 一 样 ， 期 望 值 可 以 计算 为 : 

N-l 


EXY=》 EX, 
J=0 
而 且 每 一 个 随机 变量 二 确实 是 5 在 QW xow 上 的 期 望 值 。 我 们 可 以 计算 得 到 这 个 结论 。 
两 个 字符 yy 和 z 都 为 0 《因此 相等 ) 的 概率 为 mm ， 都 为 1 (因此 相等 ) 的 概率 为 pp! 。 
一 般 地 ， 它 们 都 为 i (因此 相等 ) 的 概率 为 pp; 。 这 些 不 同 的 事件 ， 即 都 等 于 不 同 的 字符 7， 
都 是 独立 的 ， 因 此 六 = 23 的 概率 为 如 下 和 式 : 


25 
Py =2)= 2pip 
i=0 
这 就 完成 了 证 明 。 全 
上 述 结论 也 表明 ， 需要 定义 两 个 特定 的 字符 流 y=(y0,…, yw_1) 和 z=(20,°"°,2ZN_1) 的 平均 
重合 指数 ， 这 个 定义 由 如 下 式 子 给 出 : 
， _y 中 字符 i 的 数量 
PN 
: _Z 中 字符 i 的 数量 
厅 = 一 一 
N 
并 且 ， 
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25 
Tely,2) = 2 Pp? Pp 


i=0 
特别 地 ， 重 合 指 数 的 这 种 定义 对 于 单个 字符 流 具 有 不 同 的 意义 ， 它 揭示 了 一 组 频率 p, 的 某 些 
特性 : 


25 
lye))= > (pr) 


i=0 

这 个 重合 指数 的 概率 形式 可 以 被 解释 为 ， 频 率 相同 字符 流 y 和 z 的 “典型 ”指数 。( 实 际 上 ， 
我 们 已 证 明 它 是 取 遍 具有 同样 频率 和 具有 那 种 长 度 的 样本 空间 的 期 望 值 。) 

命题 ”如果 对 两 个 字符 流 使 用 具有 相同 密 钥 的 换 位 密码 加 密 ， 分 别 具 有 概率 {Py} 和 
{P?} 的 两 个 字符 流 y 和 z 的 平均 重合 指数 1,ve(y,z) 是 不 变 的 。 

证 明 在 一 组 字符 流 中 ， 通 过 重新 排序 后 ， 不 同 的 字符 出 现 的 次 数 是 不 会 变化 的 ， 这 是 
所 有 的 换 位 密码 的 共同 特性 。 频 率 p7 和 p? 因此 也 不 会 变化 。 时 

因此 ， 如 果 我 们 希望 使 用 重合 指数 的 这 个 期 望 值 ， 我 们 就 可 以 把 有 关 一 个 字符 流 的 信息 
压缩 在 恰好 有 26 个 概率 《频率 ) 值 的 表 中 ， 使 得 恰好 每 一 个 概率 值 通过 每 一 个 字符 流 。 

如 果 字 符 流 是 英文， 或 者 是 通过 一 个 简单 的 代替 密码 从 英文 加 密 得 到 ， 那 么 我 们 就 能 
大 致知 道 每 个 字符 出 现 的 频率 户 :“e” 出 现 的 概率 大 约 是 0.11， 等 等 。 使 用 上 述 的 公式 ， 
以 及 概率 值 统计 表 ， 简 单 计 算 即 可 得 到 : 


25 
2 
Tve(y) 入 DP ~ 0.064 
=0 


特别 地 ， 这 个 结果 对 于 英文 明文 的 “随机 片段 ”也 是 正确 的 。 
从 另 一 个 方面 来 看 ， 对 于 由 真正 随机 的 源 所 生成 的 字符 流 y ， 所 有 字符 出 现 的 概率 为 
pi =1/26 ， 期 望 的 重合 指数 大 约 为 ; 
1 


25 2 
1 
了 (~ P=26 [去] =— 2% 0.0385 
“® py 26/ 26 


相反 地 ，y 如 果 是 一 个 字符 流 ， 而 Ivo(y) 并 不 接近 于 0.067， 则 我 们 就 会 怀疑 y 到 底 是 
一 个 英文 文本 还 是 一 个 随机 片断 。 在 实际 中 , 使 用 维 吉 尼 亚 密码 对 英文 加 密 得 到 的 字符 流 v 的 
平均 重合 指数 为 ; 
Tive(v) ~ 0.047 
这 比 上 述 的 真正 的 随机 值 要 大 一 些 ， 但 是 比 英文 明文 值 要 小 。 
表达 式 : 


25 
Tel) = >》 (Pp?) 
i=0 


25 
Tue(y,2) = >》 pr PY 
i=0 


也 具有 几何 上 的 解释 ， 这 就 会 明确 它们 的 具体 动作 。 特 别 地 ， 对 于 每 一 个 字符 流 
y= ()o Ni) ， 我 们 结合 频率 的 26 维 向 量 
p” =(p8, Pi,…, p32s) 
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其 中 ， 


py = y 中 字符 ;的 数量 
N 


25 
Tug)= > (Pp) 
i=0 


就 是 这 个 向 量 的 范 数 。 对 另 一 个 字符 流 z 没有 必要 和 y 的 长 度 一 样 长 )， 结 合 频率 向 量 p* ， 
平均 重合 指数 ， 


25 
Tave(y, 2) = Dp?p: 
i=0 


就 是 两 个 频率 向 量 的 内 积 。 
命题 一 般 情况 总 有 下 式 成 立 ， 


O01 (y,2)< Tve(y) VTave(7) 
如 果 Jo(y) 和 7ave(z) 都 接近 于 神奇 的 数字 0.064， 且 如 果 频 率 向 量 pr 和 p? 之 间 的 夹 角 很 小 ， 
则 平均 指数 1,。(y,z) 也 接近 于 0.064， 而 且 将 会 随 着 该 夹 角 的 增 大 而 降低 。 
证 明 命题 中 不 等 式 就 是 频率 向 量 的 Cauchy-Schwarz-Bunyakowsky 不 等 式 。 那样， 我们 
得 到 向 量 pr 和 p’ 之 间 夹 角 的 余弦 公式 为 : 


cosO = {ave(y,7) 


Vlave FIV Tave (7) 


频率 在 任何 情况 下 都 是 非 负数 ， 因 此 有 1,,,(y,z) 宇 0。 由 


现在 我 们 回 到 确定 周期 代替 密码 的 密 钥 长 度 的 攻击 问题 上 来 。 假 设 密 文 为 
= (om 是 用 一 个 周期 代替 密码 加 密 得 到 的 ， 我 们 希望 检验 其 周期 是 否 为 mm 。 对 于 
任意 字符 流 y=(y。,y…) 和 正 整 数 !， 设 

y= yey ye2.°") 
也 就 是 说 ，yt 是 字符 流 y 前 移 4 位 得 到 的 如果 周期 长 度 为 m (或 者 4 的 一 个 因子 )， 闭 么 
字符 流 y 和 移 位 后 的 字符 流 yr?) 是 用 同样 的 周期 代替 密码 进行 加 密 的 〈 且 使 用 同样 的 密 
钥 )。 因 此 ， 如 果 该 周期 整除 4 ， 我 们 就 可 以 得 到 ; 
I1(y,y(0) ~ 0.067 
反之 ， 如 果 该 周期 长 度 不 整除 ! ， 则 我 们 得 到 : 
IT(y, yO) s 0.047( 或 更 小 ) 

注意 ， 我 们 不 希望 移动 0 位 ， 因 为 这 样 指数 就 会 是 无 意义 的 “1”。 在 那 种 情况 下 ， 因 为 
英语 实际 上 不 是 随机 的 ， 因 此 相 邻 的 两 个 字符 并 不 是 完全 独立 的 〈 见 前 面 的 双 字母 统计 )， 
即使 我 们 怀疑 一 个 具有 短 密 钥 例如 长 为 3 的 维 吉 尼 亚 密码 ， 使 用 / = 3 也 不 是 明智 的 行为 ， 因 
为 这 样 重合 指数 将 会 很 低 。 因 此 ， 我 们 应 该 尝试 至 少 移 位 1 二 3 位 ， 并 计算 重合 指数 ， 而 不 是 
寻找 那些 为 周期 倍数 的 较 高 值 。 

例如 ， 对 于 一 段 经 过 过 渡 的 980 个 字符 组 成 的 未 加 密 老 式 电子 邮件 ， 针 对 不 同 的 移 位 位 
数 计算 重合 指数 ， 为 了 便于 理解 将 得 到 的 重合 指数 值 夹 以 100: 
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移 位 重合 指数 x100 


3 5.93 
4 6.96 
5 7.48 
6 6.46 
7 6.16 
8 8.12 
9 6.9 

11 7.84 
12 7.64 
13 5.99 
14 6.1 

15 $5.8 

16 6.95 
17 6.64 
18 6.86 
19 5.2 

20 6.14 
21 6.56 


这 里 可 以 看 出 指数 中 的 波动 ， 样 本 越 大 则 波动 越 小 。 
反之 ， 对 于 同样 的 明文 使 用 密 钥 为 prognosticate〈 长 为 13〉 的 维 吉 尼 亚 密 码 ， 计 算 密 文 
自身 移 位 后 的 重合 指数 ， 我 们 得 到 : 
移 位 指数 x100 


1 4.69 
2 4.8 

3 3.48 
4 4.09 
5 2.56 
6 2.97 
7 4.62 
8 4.32 
9 4.73 
10 4.12 
11 4.23 
12 4.13 
13 5.99 
14 3.2 
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15 4.24 
16 4.46 
17 3.94 
18 3.43 
19 3.22 
20 3.22 
21 4.58 
22 4.07 
23 3.03 
24 4.28 
25 3.97 
26 6.6 

27 3.04 
28 3.88 
29 3.57 
30 4.52 
31 3.47 
32 5.06 
33 3.69 
34 2.85 
35 4.23 
36 3.81 
37 3.92 
38 3.71 
39 6.69 
40 3.82 


在 上 表 中 从 上 向 下 观察 数据 列 ， 在 移 位 数 为 13 〈 指 数值 为 5.99)、26 指 数值 为 6.6)、 
32 〈 指 数值 为 .06) 和 39 (指数 值 为 6.69) 处 ， 指 数值 均 大 于 5.0。 这 个 模式 是 很 清楚 的 : 
“32” 是 反常 现象 ， 其 他 均 为 13 的 倍数 。 因 此 我 们 得 出 结论 ， 密 钥 长 度 是 13 的 倍数 “实际 
也 是 如 此 )。 因此 , 筛选 出 指数 等 于 或 者 低 于 4.7 对 应 的 位 移 似 乎 是 一 个 比较 稳妥 的 处 理 方法 。 
对 于 同样 的 文本 ， 使 用 密 钥 “ xyzqwe ”进行 维 吉 尼 亚 加 密 ， 得 到 指数 如 下 : 
移 位 指数 x100 


6 6.46 
12 7.64 
18 6.86 
24 4.91 
30 7.26 
36 8.26 
42 6.82 


48 7.72 
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密 钥 长 度 相 对 于 文本 大 小 (1000 个 字符 ) 来 说 比较 短 ， 因 此 这 个 攻击 可 以 毫 不 含糊 地 给 出 密 
钥 长 度 为 6。 


对 于 同样 的 文本 ， 使 用 密 钥 “ praxisperfect ”进行 维 吉 尼 亚 加 密 ， 得 到 指数 如 下 〔〈 考 察 
移 位 小 于 50 的 情况 );: 


移 位 指数 x100 


3 5.32 
6 5.03 
13 5.99 
20 6.6 

27 5.03 
32 4.85 
39 6.69 
49 4.72 


位 移 为 13 的 倍数 时 的 特征 比较 明显 ， 因 此 我 们 认为 密 钥 长 度 是 13。 
根据 同样 的 假定 ， 对 于 一 个 长 密 钥 “ praxisperfectoyster ”， 得 到 指数 如 下 (考察 移 位 小 
于 50 的 情况 ): 
移 位 指数 x100 


7 5.65 
19 52 

33 4.75 
38 6.47 
48 5.79 


19 的 倍数 是 明显 的 选择 。 
根据 同样 的 假定 ， 对 于 一 个 更 长 的 密 钥 : 
asdfeqwertzxcvbyuiopqwertlkyhyuixwqpty 
(长 度 为 37)， 得 到 指数 如 下 (考察 称 位 小 于 80 的 情况 ): 
移 位 指数 x100 


1S 4.97 
16 5.08 
20 5.31 
22 4.9 

26 5.03 
37 5.51 
48 4.72 
59 4.99 
63 4.79 
74 7.94 
78 4.76 


这 里 大 约 只 有 26 个 字符 使 用 同样 的 移 位 进行 了 加 密 ， 而 位 移 为 37 特别 是 74 时 重合 指数 的 
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特征 比较 明显 。 央 此 认为 密 钥 长 度 为 37。 

下 面 ， 我 们 来 考查 如 何 利 用 Friedman 指数 来 确定 维 吉 尼 亚 密码 的 密 铀 
k= (hi,…,kk。_1) ， 假 设 对 于 密 钥 长 度 ， 我 们 已 经 按 上 述 方法 确定 了 一 个 可 能 性 非常 大 的 值 
mo 
我 们 截取 密 文 的 一 些 片断 : 


DJ = (0 pm yams""") 


y= OH Ha 


yp = (JJ2+m orzmo 


3 
其 ) = (]3，J3Hmy]3+2m 


yp = (pas yarm Yat2ms'"") 


-1 
py ) = (ym JoDrmyJo Dram 


如 果 密 钥 长 度 确实 是 m 或 者 是 m 的 一 个 因子 )， 则 对 于 每 一 个 指数 j， 密 文 片断 y 中 是 
根据 明文 中 对 应 的 片段 用 密 钥 为 的 移 位 密码 进行 加 密 所 得 到 的 。 同 想 一 下 ， 移 位 密码 具有 
下 列 特 性 ， 即 对 于 任意 两 个 整数 sr : 





E,°oF,=E,, 
因此 , 对 于 任意 两 个 指数 i,j , 两 个 字符 流 yW 和 _; y 中 为 通过 移 位 密码 E 对 英文 文本 (或 
者 -- 个 随机 片断 ) 进行 加 密 后 的 结果 。 
特别 地 ， 差 值 右 -- 大 应 该 是 在 范围 0~ 25 之 间 的 整数 :， 对 于 这 样 一 个 值 ， 重 合 指数 
TE),y) 
非常 接近 于 神奇 的 数字 0.064， 而 对 于 t 的 其 他 值 ， 这 个 指数 应 该 为 0.047 或 者 更 低 。 但 是 ， 
内 为 实际 上 相 邻 的 字符 之 间 必 然 存 在 一 定 的 关系 ， 所 以 我 们 应 该 使 用 上 述 记 号 来 计算 下 式 : 
1(E(y"), ye ) 
意味 着 将 密 文 片段 yn 向 前 移 位 (假设 的 〉 密 钥 长 度 的 3 倍 。 
或 者 ,我 们 可 以 考虑 使 用 重合 指数 的 平均 形式 1,6(y,z)。 
例如 ， 还 是 使 用 上 述 980 个 字符 的 文本 ， 使 用 维 吉 尼 亚 密码 及 密 钥 “ abcxqg ”进行 加 密 ， 
假设 密 钥 长 度 为 S， 计 算 ， 
7( 已 OOD), y+) 
对 于 0 到 25 之 间 的 :( 且 忽略 任何 指数 低 于 5.5 的 情况 )， 我 们 发 现 : 
移 位 指数 x100 


1 7.77 
2 6.21 
12 6.21 
21 6.21 
23 5.69 


这 样 可 以 得 出 ， 在 第 零 个 和 第 一 个 片断 之 间 的 相对 位 移 右 -大 的 最 佳 位 移 值 为 1， 这 和 
实际 情况 完全 一 致 。 根 据 同样 的 假定 ， 我 们 再 来 计算 
I(E,(y™), yo 3)) 
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来 猜测 一， 我 们 得 到 ; 
移 位 指数 x100 


2 6.72 
8 6.72 
17 6.21 


这 个 结果 对 于 已 - 避 来 说 相当 模棱两可 。 但 是 为 了 从 另 一 个 方面 得 到 已 - 镶 的 信息 ， 我 们 还 
可 以 通过 下 面 的 计算 来 猜测 -五 : 


TE.(y0), yO0) 
通过 计算 得 到 ， 
移 位 指数 x100 
1 8.8 
8 $5.69 
17 6.73 


对 于 局 -~- 石 ，1 是 最 好 的 猜测 ， 另 外 两 个 值 仍 是 似是而非 的 。 

因此 , 在 这 个 例子 中 , 五- 局 几乎 可 以 确定 是 1， 而 已- 太 在 2、8、17 之 中 ， 且 已 一 太极 
有 可 能 也 是 1， 尽 管 它 也 有 可 能 是 8 或 17。 同 时 考察 这 些 结论 ， 因 为 一 定 有 : 

(ba =ko) (h-hh)=h -hh 

所 以 我 们 可 以 计算 得 出 ，8 和 17 是 不 可 能 的 。 因 此 ， 通 过 挂 除法 ， 我 们 已 接近 【正确 的 ) 结 
论 了 ， 即 密 钥 的 头 三 个 字符 ,,k, 就 具有 形式 :itl,i+2。 

继续 分 析 例 子 ， 计 算 : 

T(E(y"), yO) 


得 到 : 
移 位 指数 x100 
19 6.2 
23 6.72 


这 个 结果 还 不 很 明确 ， 只 能 说 明石 -后 为 19 或 者 23。 计 算 ; 
T(E,(y™), yx)) 


得 到 ， 
移 位 指数 x100 
8 6.72 
11 7.24 
22 0.72 


这 个 结果 本 身 也 还 是 不 明确 的 ， 只 能 说 明 局 -五 为 8、11 或 22。 但 是 我 们 已 经 得 出 结论 (至 
少 是 暂时 性 的 )， 即 差别 点 -和 铝 为 1， 因 为 ， 
《名 一 后 )+ (后 一 如 ) = 太一 各 
唯一 都 可 以 满足 条 件 的 情况 是 后 -=23， 这 确实 是 正确 的 结论 。 为 了 证 实 这 一 结果 ， 我 们 
ITE), yO)) 
得 到 ; 
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移 位 指数 x100 


2 5.69 
6 7.25 
11 5.69 
16 5.69 
21 5.18 
24 6.21 


这 不 能 很 好 地 确证 《因为 “21” 也 是 正确 的 !)， 但 是 5.18 太 大 而 似是而非 。 另 外 一 些 较 大 的 
值 与 早先 的 数值 不 能 比较 。 


让 我 们 来 做 最 后 一 个 差 值 计 算 。 在 这 个 例子 中 ， 为 了 得 到 丸 ， 我 们 计算 : 
1(E00), 900)) 


得 到 : 
移 位 指数 x100 
9 5.68 
16 5.16 
17 7.23 
18 5.68 
20 5.68 
22 6.19 


对 于 一 ko， 看 起 来 最 好 的 相对 移 位 是 17 位 ， 但 是 我 们 私下 知道 这 个 相对 移 位 为 1 6， 至 少 
是 达到 我 们 极限 的 有 吸引 力 的 数 。 但 是 因为 这 个 极限 实际 上 要 小 得 多 ， 我 们 在 这 里 得 到 的 结 
论 还 不 是 很 明确 。 计 算 ; 


T(E (yO), y ) 
得 到 : 

移 位 指数 x100 
0 $.68 

5 6.2 

15 7.75 

21 S.17 

22 5.17 

24 6.2 


因为 刀 -ko =1， 为 了 满足 兼容 性 ， 所 有 可 能 性 都 被 排除 ， 除了 五 一 所 =16 和 太一 后 =15 
(也 是 正确 的 )。 为 了 求 得 证 实 ， 我 们 计算 : 
TE), y+") 
希望 得 到 -上 ,的 值 为 14: 
移 位 指数 x100 
8 4.17 
11 5.17 
14 6.21 


68 条 


15 6.21 
20 5.17 
21 6.21 


这 样 的 结果 仍然 不 明确 ， 但 是 至 少 -ka =14 是 可 能 的 。 最 后 ， 我 们 试 试 : 
(Ey 六 ) 

为 了 整个 计算 的 一 致 性 ， 希 望 能 得 到 -的 值 为 19: 
移 位 指数 x100 


1 5.18 
5 5.18 
9 5.18 
15 5.18 
19 7.25 
23 6.21 


备注 上 面 的 计算 过 程 中 产生 的 不 确定 性 完全 是 意料 之 中 的 。 考 虑 到 样本 的 大 小 为 980 
个 字符 ， 在 密 文 “片断 ”中 大 约 有 196 个 字符 是 使 用 简单 移 位 密码 进行 加 密 的 。 事 实 上 ， 对 
于 《假设 的 ) 密 钥 长 度 为 5 的 情况 ， 我 们 总 共 得 到 10 个 指数 表 是 有 帮助 的 。 

现在 ,我们 已 经 完成 了 对 维 吉 尼 亚 密码 的 纯 密 文 攻击 。 通 过 使 用 Friedman 指数 ， 我 们 知 
道 密 钥 具有 如 下 形式 : 

k=(ko,ko +1,k +2, Kk +23,k0 +16) 
因此 ， 剩 下 的 复杂 度 从 本 质 上 说 ， 在 于 对 整个 明文 进行 的 简单 移 位 加 密 ， 因 为 只 剩 下 了 一 个 
未 知 参数 如 。 通 过 简单 地 观察 具有 此 形式 的 26 个 可 能 的 解密 过 程 ， 我 们 可 以 利用 穷 举 法 来 
破解 x。 此 外 ， 这 个 最 后 的 穷 举 法 可 以 在 一 定 程度 上 自动 进行 ,针对 一 些 具 有 有 限 种 类 的 密 
钥 和 英文 明文 文本 字符 流 , 计算 Di ( 密 文 ) 的 重合 指数 ， 并 观察 & 的 哪 一 个 值 具有 最 高 的 重合 
指数 。 在 目前 的 例子 中 ， 计 算 “ 一 般 英 文 ” 的 字符 流 的 重合 指数 ， 其 中 在 范围 0~25 内 ， 
密 钥 具有 上 述 特殊 形式 ， 可 以 得 到 : 
移 位 ”指数 x100 


0 7.64 
4 4.85 
7 5.06 
12 5.06 
25 5.57 


这 表明 ， 当 恕 为 0 时 , 《使 用 密 钥 的 这 种 特殊 形式 ) 通过 疡 ;解密 的 密 文 的 频率 通常 非常 类 似 
于 那些 普通 的 英文 。 这 是 正确 的 。 如 果 得 到 的 数 更 加 不 确定 ， 我 们 将 不 得 不 进行 解密 尝试 以 
看 哪 一 个 消息 有 意义 。 


习题 : 
4.5.01 考查 具有 两 个 字符 “0” 和 “1” 的 字母 表 ， 在 某 种 语言 中 ， 这 两 个 字符 出 现 的 要 


率 分 别 为 2/3 和 1/3 。 如 果 “0” 和 “1” 出 现 的 概率 为 1/2， 则 称 由 它们 组 成 的 字符 流 是 随机 
的 。 对 于 由 “0” 和 “1” 组 成 (长 度 相 等 的 字符 流 y,z ， 定 义 其 重合 指数 I(y,z)。 
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4.5.02 在 前 面 一 个 问题 中 , 两 个 随机 字符 流 的 指数 的 期 望 值 E64 为 多 少 ? 对 于 那 种 语音 
而 言 ， 两 个 字符 流 的 指数 的 期 望 值 Eo 为 多 少 ? 

4.5.03 在 前 面 一 个 问题 中 , 两 个 长 度 为 5 的 随机 流 的 指数 与 Ew 一样 大 的 概率 为 多 少 ? 
如 果 长 度 为 10 呢 ? 

4.5.04 在 前 面 一 个 问题 中 , 从 该 语言 中 得 出 的 两 个 长 度 为 5 的 字符 流 的 指数 和 ,一样 
小 的 概率 为 多 少 ? 如 果 长 度 为 10 呢 ? 

4.5.05 解释 为 什么 平均 指数 1,,(y,y") 在 猜测 周期 代替 密码 的 周期 时 没有 用 处 ? 

4.5.06 解释 在 对 维 吉 尼 亚 密码 的 唯 密 文 攻击 中 ， 为 什么 平均 指数 了 (yy 四) 对 于 猜测 
相对 移 位 五 ~ 是 有 用 的 ? 


第 5 章 概率 问题 


这 一 章 并 不 作为 结论 ， 但 对 概率 问题 及 现象 进行 比较 透彻 的 观察 。 特 别 我 们 引入 了 方差 
作为 依赖 于 随机 变量 的 另外 一 个 基本 量 〈 除 了 先前 讨论 的 期 望 值 )。 这 使 得 我 们 得 以 给 出 大 
数 定律 的 一 个 简单 例子 ， 它 的 思想 实质 就 是 当 执行 的 试验 次 数 越 来 越 多 时 ， 结 果真 正 接近 于 
期 望 值 。 在 这 一 -论断 中 数量 的 限制 是 非常 重要 的 ， 我 们 后 面 将 研究 它们 。 

我 们 给 出 的 关于 大 数 定律 特殊 情况 的 证 明 ， 用 到 了 车 贝 雪夫 不 等 式 ， 这 个 不 等 式 本 身 就 
是 大 数 定律 的 一 个 更 加 量化 并 且 明 显 的 形式 。 不 太 严 格 地 讲 ， 车 贝 雪夫 不 等 式 告诉 我 们 越 来 
越 多 样本 的 结果 是 怎样 快速 地 通 近 对 应 随机 变量 的 期 望 值 的 。 举 个 例子 ， 这 个 不 等 式 告诉 我 
们 ， 在 抛掷 2 次 硬币 的 试验 中 正面 朝 上 的 次 数 是 如 何 接 近 n 的 。 当 然 没 有 理由 期 望 它 恰 好 
等 于 n， 但 我 们 有 一 个 直觉 ， 它 应 该 非常 接近 。 


5.1 生成 函数 


设 半 为 由 所 有 有 序 的 0、1n 元 组 构成 的 概率 空间 Q 上 的 随机 变量 ,并且 它 在 每 个 nn 元 组 
上 的 值 为 该 x 元 组 中 1 的 个 数 , 假设 1 出 现 的 概率 为 p 而 0 出现 的 概率 为 q (当然 p+g=1)， 
并 且 在 序列 的 不 同位 置 0 和 1 是 独立 的 。 半 的 期 望 值 是 多 少 ? 

这 是 一 个 比 我 们 后 面 要 讨论 的 方法 还 要 容易 的 方法 ,而 且 是 一 个 直觉 上 的 方法 ， 但 这 个 
问题 给 了 我 们 一 个 相对 简单 的 机 会 来 表明 生成 函数 计算 方法 的 应 用 。 

首先 ， 按 照 1 出 现 的 总 次 数 ， 我 们 可 以 对 概率 进行 分 组 。 在 n 个 位 置 中 出 现 4 个 1 的 概 
率 为 (%) 。 根 据 假设 的 独立 性 ， 任 何 特定 的 有 个 1 和 -大 个 0 的 概率 是 pr+g”* 。 因 此 ， 刚 
好 出 现 k 个 1 的 概率 为 : . 








PX == (2)p'g" 
其 期 望 信和 是 : 


EX = DPX = 有 .大 = > 和 .天 
天 k=0 


这 里 有 一 个 小 技巧 。 在 这 个 表达 式 中 用 变量 x 代替 p 则 可 得 到 ; 


(和 re ,天 
k=0 

由 微分 的 知识 我 们 知道 : 
Ox = 大 
Ox 


两 边 同 乘 以 xz， 使 得 指数 还 是 大 : 


72 雾 5 得 


因此 ， 在 上 面 的 和 式 中 ， 利 用 大 .六 部 分 的 导数 表示 ， 我 们 就 可 得 到 : 


由 于 导数 的 和 等 于 和 的 导数 ， 因 此 有 


站 人 (| ak 
E22 
注意 上 面 的 和 式 可 认为 是 (x+g)” 的 二 项 展开 式 ， 因 此 转化 为 
6 n 7 一 | 
ZX- 一 (+9) = xn(x+gq) 
Ox 
将 x 再 替换 为 p ， 则 多 的 期 识 值 可 表示 为 : 
EX = pnp+q)" =pn:1™ = pn 
备注 ”这 个 结果 非常 总 :类 的 , 所 以 没有 什么 可 惊讶 的 。X 是 随机 变量 XX, 的 和 , 这 里 X, 表 
示 在 序列 的 第 i 个 位 置 出 现 | 的 数目 。 每 个 ,的 期 望 值 很 容易 计算 : 
EX;=p:l+q:0=p 
和 的 期 望 值 等 于 每 个 期 望 值 的 和 ， 因 此 我 们 很 容易 计算 得 到 : 
EX = E(XI+:…+X,)= EXI+:…+EX, = p+:…+p= pn 


这 个 方法 对 于 这 个 特定 的 例子 来 说 是 比较 简单 的 ， 但 是 我 们 阐述 的 生成 函数 方法 是 非常 重要 
的 。 


习题 
5.1.01 利用 公式 


区 的 的 [je +y”"=(x+y)" 


计算 和 
1(9)+2:(0)+3 (ttn (1) tn 
5.1.02 计算 和 
roof 
5.1.03 计算 和 


1 人 (er 人 


S.1.04 利用 条 件 
|xk<1, wt 4 
1—x 


计算 级 数 和 


xX+2x? +3x +4x +.… 


盘查 向 十 73 


5.1.05 ”计算 级 数 和 x+22x? +32x 3? +42X 十 …。 

5.1.06 计算 级 数 和 x+23x?+33x3 +43x4+…。 

5.1.07 有 一 枚 硬币 ， 设 正面 朝 上 的 概率 为 p ， 设 XY 是 随机 变量 ， 表 示 正 面 朝 上 的 次 数 
为 2 时 所 需要 投掷 的 次 数 ， 求 X 的 期 望 值 。 
5.2 方差、 标准 差 


设 X 为 由 所 有 有 序 的 0、1n 元 组 构成 的 概率 空间 QV 上 的 随机 变量 , 并 且 它 在 每 个 4 元 组 
上 的 值 为 该 4 元 组 中 1 的 个 数 。 假 设 1 出 现 的 概率 为 p 而 0 出 现 的 概率 为 g (当然 p+g=1)， 
并 且 在 序列 的 不 同位 置 0 和 1 是 独立 的 。 我 们 已 经 知道 了 的 期 望 值 是 一 个 直觉 上 比较 合理 的 
数 pn ， 那 么 大 的 方差 是 多 少 呢 ? 

设 随机 变量 蕊 的 期 望 值 (也 称 为 期 望 ) 为 x ， 则 均 方 差 o 定义 为 

方差 (X)=o*(X)=E((X -1)’) 

(是 的 ， 这 里 确实 是 0 的 平方 ) 也 就 是 说 ，o? 是 随机 变量 (X -yw)? 的 数学 期 望 值 ，c 本 身 是 
标准 差 。 

为 了 计算 ， 可 以 应 用 数学 期 望 的 性 质 作 一 点 简化 ， 妊 在 这 里 只 看 作 常 数 。 

0 =E(X-1))= EX -2 +p)= EX )-2uE(X) + py 

=E(X’)-2u.u+4 = E(X’)- py? 
这 里 对 于 任何 随机 变量 X 都 是 正确 的 ， 因 为 我 们 不 能 使 用 它 的 特例 的 任何 属性 。 
所 以 我 们 计算 随机 变量 的 方差 ， 需 要 先 计算 E(X?): 


EC = 和 PC = 月 .好 


天 =0 
通常， 使 得 在 元 组 中 恰好 出 现 k 个 1 的 情形 有 |(%] 种 方法 ， 每 种 方法 出 现 的 概率 为 
Peak 。 所 以 ， 


尼 (8 2 一 亲人 po 。 k2 
k=0 


这 非常 像 在 上 节 计 算数 学 期 望 值 时 的 表达 式 ， 但 是 现在 我 们 要 用 大 代替 ， 我 们 看 一 下 
结果 ， 由 于 
xi = fx’ 
Ox 


重复 这 一 运算 则 有 


x Ox xt = kxt 


Ox 
在 表达 式 E(X”) 中 ， 用 x 代替 p， 计 算 
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De kk 


大 =0 
0 0 到 A 0 
-js -* = x +9) 
这 里 我 们 利用 了 二 项 展开 式 。 进 一 步 求 导 得 
x+ gq)” = Ce nr+ 9)") = (ln + 9)™ +x-:nn—lM(x+g)”) 
用 p 代 回 x， 因 (p+q)=1， 得 到 : 
E(X*)=p(l:n(p+9)" +p:nn-)p+q)”)= p(nt+p:n(n—l1)) 
那么 
0 =E(X’)-1 =pn+p:nn-1)-(pn) =pn+ pm -pn- pin’ =p(l- pn 
也 就 是 说 ， 标 准 差 o 的 表达 式 为 : c= Vp(1- p)n = 方差 
习题 
5.2.01 设 随 机 变量 为 投掷 一 个 般 子 结果 的 和 ， 计 算 该 随机 变量 的 方差 。 
5.2.02 设 随 机 变量 为 投掷 两 个 驶 子 结果 的 和 ， 计 算 该 随机 变量 的 方差 。 
5.2.03 设 随机 变量 为 投手 三 个 骨 子 结果 的 和 ， 计 算 该 随机 变量 的 方差 。 
S.2.04(*) 设 随 机 变量 为 投掷 = 个 仍 子 结果 的 和 ， 计 算 该 随机 变量 的 方差 。 


5.2.05 设 一 枚 硬币 正面 朝 上 的 概率 为 p ，X 是 随机 变量 , 表示 出 现 两 次 正面 朝 上 时 所 投 
据 的 次 数 ， 求 元 的 方差 。 


5.3 车 贝 雪夫 不 等 式 


计算 一 个 随机 变量 无 的 方差 o*(X) 的 意思 就 是 要 说 明 随 机 变量 是 如 何 偏离 其 期 望 值 
的 。 车 贝 雪夫 〈Chebycheff) 不 等 式 给 出 了 这 个 问题 的 实质 ， 它 也 是 大 数 定律 的 早期 稍 弱 一 
定理 ” 设 随机 变量 辣 的 期 望 值 为 ， 方 差 为 or*， 令 1>1， 则 有 
PIX- pero) < 
证 明 ”使 用 刚才 定义 的 go?2，, 
0 =E(X-pI)= PKA > PK- 
x Xx: |z=-d>rc 
这 是 因为 在 可 能 出 现 的 较 小 的 指标 集 上 计算 非 负 数 的 和 ， 不 会 增加 和 的 值 。 这 也 就 是 
D> P(X=x).(x-1)> > P(X =x).(to) 
x: |*-wl>zc x: |zH>t 
这 是 因为 在 满足 1|x- /wj>tc 的 实数 x 的 集合 上 ， 用 (ta)? 代替 (xy)? 当然 也 不 会 增加 和 式 的 
值 。 虫 此 就 有 : 
DP(X = (to0) =(ta? P(X =) 


x: | 一 Ai x |x-Hlzto 


因为 常数 to 与 指标 x 无 关 ， 于 是 
o>(t0) P(X -Hl2t0) 


重新 整理 并 消去 ec” 即 得 : 
了 >P(X-Aro) 
f 

习题 


$.3.01 估计 在 抛 邱 100 次 硬币 的 试验 中 ， 正 面 朝 上 的 次 数 在 40<x 和 60 之 间 的 概率 。 

5.3.02 估计 在 抛 搓 1000 次 硬币 的 试验 中 ,正面 朝 上 的 次 数 在 900 入 xz 和 1100 之 间 的 概率 。 

5.3.03 估计 在 抛掷 10000 次 硬币 的 试验 中 ,正面 朝 上 的 次 数 在 9000 和 xz 和 11000 之 间 的 概 
率 。 

$5.3.04 一 个 硬币 出 现 正面 朝 上 的 概率 为 /10， 证 明 在 100 次 的 抛掷 中， 硬币 正面 朝 上 的 
次 数 超过 20 次 的 概率 小 于 1/9。 

5.3.05 一 个 硬币 出 现 正 面 朝 上 的 概率 为 /10， 证 明 在 10000 次 的 抛掷 中 ， 硬 币 正面 朝 上 
的 次 数 小 于 2000 的 概率 小 于 1/900。 


5.4 大 数 定律 


应 用 车 贝 雪夫 不 等 式 我 们 可 以 证 明 被 称 为 《 弱 ) 大 数 定律 的 一 种 特殊 情形 ， 至 少 是 在 概 
率 空 间 { 互 , 刀 上 重复 试验 的 情形 是 可 以 证 明 的 ， 这 里 P(B)=P,PGODJ=1- 疡 。 

将 期 望 值 作 为 随机 变量 的 值 的 想法 太 幼稚 ， 因 为 期 望 值 只 是 一 个 平均 值 。 但 我 们 可 以 确 
切 地 知道 我 们 得 到 的 大 多 数值 都 会 很 接近 于 期 望 值 ， 从 数量 表现 土 它 还 依赖 于 方差。 有 多 种 
方法 可 以 阐述 这 一 结论 ， 而 且 这 一 结论 对 于 比 我 们 这 里 所 提 到 的 随机 变量 还 要 广泛 的 随机 变 
量 也 成 立 ， 认 识 到 这 一 点 是 很 重要 的 ， 我 们 只 是 选择 了 一 个 简单 的 例子 以 避免 过 多 的 不 必要 
的 技术 细节 。 

定理 ”在 概率 空间 QQ={ 玉 ,T} 上 ，P(H)= p ,随机 变量 凶 表 示 在 n 次 试验 中 有 多 少 次 号 
发 生 ，e 表示 任意 小 的 正 整 数 ， 则 

lm PIX-p-nb> em=0 

这 里 我 们 知道 的 期 望 值 为 pn 。 

证 明 我 们 将 利用 车 贝 雪夫 不 等 式 , 通过 合理 选择 参数 得 出 这 个 结论 。 设 44 为 X 的 数学 


期 望 值 ，c 为 其 标准 差 。 由 前 面 的 计算 我 们 知道 j= p:n，o=Vp(l-p).Yn 。 由 车 贝 雪夫 
不 等 式 得 到 P(X-p>10) < 方 ， 所 以 


PUOX-p-npt Vpdp) Vn ) < 
取 
_& 


1=—— .Vn 
Va 
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得 到 
PUX pnbpen<dP Pn) 
n 
当 n 趋 向 于 无 穷 ， 不 等 式 右 边 也 趋 近 于 0， 这 就 证 明了 定理 。 


习题 
5.4.01 需要 抛掷 多 少 次 硬币 ， 才 能 使 得 
1 正面 朝 上 的 次 数 _， 
2 “反面 朝 上 的 次 数 ” 
的 概率 至 少 为 9/10? 


5.4.02 需要 将 一 对 假 子 掷 多 少 次 ， 才 能 使 得 出 现 一 次 点 数 为 7 的 概率 至 少 为 3/4 ? 
S.4.03 需要 将 一 对 蜗 子 掷 多 少 次 ， 才 能 使 得 出 现 一 次 点 数 为 12 的 概率 至 少 为 9/10 ? 
5.4.04 需要 将 一 对 般 子 掷 多 少 次 ， 才 能 使 得 出 现 一 次 点 数 为 7 的 概率 至 少 为 910 ? 


第 6 章 “现代 对 称 密码 


6.1 设计 目标 


通过 分 析 一 些 密 码 的 例子 及 它们 失败 的 原因 ， 我 们 能 够 更 准确 地 确立 一 个 成 功 密码 的 设 
计 目 标 。 首 先 ， 回 顾 一 下 迄今 为 止 我 们 所 见 到 的 例子 。 
对 于 一 个 简单 代替 密码 或 简单 置换 密码 而 言 ， 其 密 钥 是 一 个 对 字母 表 {a,pc…z} (或 任 
何 可 用 到 的 字母 表 ) 的 置换 A ， 加 密 步 又 表示 如 下 : 
E(xo, Xs X27) = (f(x0), fx), F(x),*) 
这 也 称 为 单 表 代替 密码 ， 其 特点 是 无 论 该 字母 出 现在 明文 的 什么 位 置 ， 都 对 它 做 相同 的 
代替 变换 。 
集合 {a,5,c,…,z} 的 置换 函数 /是 一 个 简单 的 双 射 函数 
f :{a,b,c,d,…, y,2} > {a,b,c,d,.…., y, 2} 
因此 , 我 们 可 以 把 了 看 作 是 对 字母 表 的 “混合 处 理 ” 每 一 个 步骤 都 是 用 了 相同 的 代替 了 。 
解密 步骤 可 以 使 用 反 函 数 广 代替 三: 
Dy = 
因此 ; 
Dy(xom, x ) = (Ko), 7 G0) f(x),%) 
所 有 的 移 位 和 仿 射 密码 都 是 简单 的 代替 密码 的 例子 。“ 密 语 ” 是 此 类 密码 最 常见 的 形式 。 
在 移 位 和 仿 射 密码 中 ， 置 换 是 非常 严格 的 一 类 置换 ， 我 们 将 以 模 26 的 数学 方法 描述 。 
通过 使 用 单字 母 频率 和 其 他 关于 英语 〈 或 其 他 正在 使 用 的 自然 语言 ) 结构 的 基本 信息 ， 
针对 单 表 代替 密码 的 唯 密 文 攻击 是 成 功 的 。 这 是 非常 糟糕 的 。 
为 了 增加 复杂 性 ， 采 用 某 些 方法 ， 在 不 同 的 步骤 中 尽 可 能 的 使 用 不 同 的 代替 方法 ， 这 就 
是 多 表 代 换 密码 。 对 于 周期 性 多 表 代 换 密码 的 常见 描述 为 ， 密 钥 是 代替 变换 广 的 产 维 数组 
(jo; 有 fi,…, fm_1) 《其 中 1m 为 密 钥 的 一 部 分 )， 加 密 算法 为 ; 
E(xo,x, X27) = (foCXo0), AX1),, froom Xi) 
其 中 ， ”fmm 《下 标 为 1 模 m 的 余数 ) 用 于 加 密 明 文 的 第 i 个 字符 。 Nes 
D(xo, xx) = (fo (Xo), A 0),*: ,fom (Xi) 
因此 ， 对 明文 中 第 i 个 字符 的 加 密 仅 依赖 于 这 个 字母 以 及 i 模 m 加 所 谓 周期 是 指 每 
隔 产 个 字符 , 单个 字母 的 加 密 就 会 重复 。 维 吉 尼 亚 密码 是 代替 密码 中 周期 性 的 多 表 代 替 密码 。 
周期 性 多 表 代 替 密 码 〈 如 维 吉 尼 亚 ) 失败 的 本 质 原 因 就 是 攻击 者 能 够 将 密 文 序列 分 解 成 
若干 由 单 表 代替 密码 加 密 的 子 序列 。 
通过 对 比 ， 使 用 不 同 的 机 制 ， 一 个 (简单 的 ) 换 位 密码 不 改变 单个 字母 ， 而 是 改变 他 们 在 
消息 中 的 位 置 。 一 些 比较 独特 的 古典 密码 的 例子 包括 通过 格子 或 将 写 了 信息 的 纸 带 缠绕 在 圆 
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锥 体 上 来 阅读 信息 ， 都 是 这 一 类 的 密码 。 概 要 描述 为 :选择 一 个 大 小 为 m 的 正 整数 块 ，/ 为 
{0,1,…,n 一 ]} 到 它 自身 (集合 上 的 一 个 置换 ) 的 映射 函数 ，m 和 /为 密 钥 ， 对 明文 
. X= (Xx0,X1,**") 
加 密 时 ， 将 其 分 割 成 长 度 正好 为 m 的 片段 
(xzo， Xm) 
Xs, Xml1) 


(Km Kam 1) 


按 如 下 方式 加 密 每 一 个 分 块 tw，…xmsm_D) ， 为 了 描述 简便 ， 我 们 将 一 个 固定 的 分 所 
Xin Xomtm-_1) 表示 为 : 


2 三 (Zz0,°**, Zn_1) = (Xipms ,Ximtm-1) 


于 是 
Ef (2) = (2 p00),270)2709)»°"" Zp0m-1)) 


实际 上 这 是 通过 下 标的 置换 来 描述 的 。 这 样 做 的 效果 就 是 移 位 仅 对 分 块 内 的 字符 进行 
没有 对 字母 自身 进行 改动 ( 除 它们 的 位 置 之 外 )。 常 见 的 被 称 为 变 位 字 的 字谜 (文字 游戏 ) 
就 是 通过 换 位 密码 来 加 密 的 。 对 于 这 类 密码 而 言 ， 由 于 一 些小 的 字 谈 〈 文 字 游戏 ) 已 经 被 人 
们 当 作 消 遗 而 破译 ， 从 而 对 其 安全 性 造成 了 一 些 负 面 影响 。 

相对 于 代替 密码 而 言 ， 换 位 密码 的 复杂 之 处 在 于 如 何 描述 明文 字母 的 移动 以 及 这 些 移 动 
变化 是 如 何 依赖 于 密 钥 的 。 古 典 式 独特 的 迷人 游戏 并 不 能 处 理 好 换 位 与 密码 的 关系 ， 因 为 通 
常 一 旦 密 钥 暴 露 ， 则 没有 可 以 替换 的 : 密 钥 包含 一 个 单 片 秘密 (monolithic secret)， 因 此 不 存 
在 可 替换 的 机 制 。 

我 们 可 以 看 到 双重 变 位 (double anagramming) 是 对 简单 换 位 密码 的 有 效 攻 击 。 

无 论 是 代替 密码 还 是 换 位 密码 ， 它 们 的 密 钥 都 是 一 个 置换 。 对 于 代 蔡 密码 而 言 ， 字 母 本 
身 的 序列 改变 了 ， 故 消息 中 的 每 一 个 字符 都 变 了 ， 而 对 于 换 位 密码 而 言 ， 消 息 中 字符 的 位 置 
改变 了 ， 但 每 一 个 字符 本 身 并 没有 改变 。 

一 个 对 明文 分 组 加 密 的 密码 如 换 位 密码 称 为 分 组 密码 ， 与 之 相对 应 的 流 密码 是 对 明文 中 
单个 字符 的 操作 。 因 而 ， 代 替 密 码 可 以 称 为 流 密码 (最 简单 的 一 种 )， 因 为 对 每 一 个 字符 的 
加 密 与 明文 字符 前 后 无 关 。 代 替 密 码 的 周期 性 特点 ， 如 在 维 吉 尼 亚 密码 中 所 表现 的 那样 ， 是 
一 个 致命 的 缺陷 。 

然而 ， 在 分 组 密码 和 流 密码 之 间 的 界限 并 不 是 很 清晰 的 ， 并 且 从 相对 抽象 的 观点 看 ， 这 
种 界限 也 几乎 是 不 存在 的 。 毕 竟 ， 一 些 分 组 密码 可 以 看 作 周 期 长 度 等 于 分 组 长 度 的 流 密 码 。 

必须 注意 到 的 是 一 些 传统 密码 不 是 代替 密码 就 是 换 位 密码 ， 现 代 密 码 则 是 两 者 的 有 效 结 
合 。 试 图 区 分 分 组 密码 和 流 密码 是 同样 无 用 的 ， 因 为 实际 上 一 些 密码 算法 将 明文 处 理 为 序列 
或 分 组 序列 ， 对 每 一 个 分 组 的 加 密 依赖 于 它 在 分 组 序列 中 的 位 置 。 

在 序列 密码 的 上 下 文中 ， 也 可 以 把 明文 序列 认为 是 拆 开 了 的 分 组 ， 加 密 一 个 分 组 可 能 依 
赖 也 可 能 不 依赖 于 它 前 面 的 明文 。 如 果 对 每 一 个 分 组 的 加 密 与 它 前 面 的 明文 无 关 ， 则 该 密码 
是 同步 密码 (显然 在 军事 上 也 称 为 密 钥 自动 密 钥 )。 如 果 对 一 个 分 组 的 加 密 与 她 前 面 的 明文 
有 关 ， 则 该 密码 是 异步 密码 。 
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20 世纪 40 年 代 未 ， 交 劳 伍 德 ， 香农 〈Claude Shannon) 就 提出 了 一 些 很 好 的 针对 《对 
称 ) 密码 的 设计 准则 。 首先， 他 重申 了 Kerckhoff 惟一 -需要 保密 的 是 密 钥 原理 而 不 是 大 量 的 
密码 机 理 的 原则 。 其 次 ,香农 强 调 一 个 好 的 密码 将 融合 混淆 和 扩散 。 这 不 但 听 起 来 很 吸引 人 ， 
而 且 它 准确 的 指出 了 传统 密码 的 弱点 。 通 过 混淆 的 方法 ， 密 码 可 以 对 攻击 者 隐藏 一 些 语言 的 
局 部 特征 。 通 过 扩散 密码 可 以 混淆 明文 的 不 同 部 分 ， 因 而 ， 没 有 什么 还 留 在 它 原 来 的 位 置 。 
对 此 的 一 个 粗略 解释 就 是 无 论 是 在 一 个 小 范围 还 是 大 范围 内 的 结构 都 将 被 破坏 。 . 

例如 ， 单 表 代 替 密 码 就 不 符合 这 些 标准 。 如 双 字 母 〈 像 “ee”) 这 样 的 局 部 特征 在 密 文中 
将 依然 表现 为 双 字母 。 并 且 单 字母 的 出 现 频率 将 依然 得 到 体现 。 

像 维 吉 尼 亚 这 样 的 多 表 代替 密码 在 混淆 〈 隐 藏 语言 的 局 部 特征 》 上 是 非常 有 效 的， 因为 
它 不 是 在 每 一 时 刻 都 采用 同样 的 方法 加 密 同 样 的 字符 。 但 维 吉 尼 亚 密码 在 扩散 上 是 失败 的 ， 
因为 它 没 有 做 任何 的 换 位 。 该 弱点 〈 加 上 周期 性 的 替代 ) 将 受到 Friedman 攻击 。 

从 设计 的 角度 讲 ， 传 统 换 位 密码 在 扩散 方面 是 很 优秀 的 ， 因 为 它们 所 做 的 恰恰 就 是 更 换 
字母 的 位 置 。 在 理想 情况 下 , 它 也 的 确 能 够 消除 小 范围 内 的 语言 特征 ， 从 而 达到 混淆 的 目的 。 
但 是 ， 如 前 面 所 评论 的 那样 ， 描 述 怎样 的 混淆 才能 改变 对 密 铀 的 依赖 却 是 不 那么 容易 。 

但 是 ， 到 现在 为 止 ， 可 以 清楚 地 看 到 一 个 好 的 密码 应 该 是 同时 使 用 代替 和 换 位 以 达到 香 
农 的 混淆 和 扩散 的 目标 。 许 多 当代 (对 称 》 密 码 重复 循环 以 下 的 一 个 或 几 个 步骤 :代替 然后 
换 位 ， 然 后 代替 ， 再 换 位 等 等 。 并 且 每 一 个 实施 的 细节 都 依赖 于 密 钥 。 

更 进一步 来 说 ， 当 我 们 将 字符 编码 成 数字 〈 无 论 是 采用 模 26 还 是 用 0 1 这 样 的 字符 串 ) 
时 ， 我 们 就 能 更 好 地 使 用 代替 和 换 位 。 
习题 

6.1.01 (*) 是 否 存在 一 种 与 Kerckhoff 和 香农 准则 相 违 背 的 好 的 加 密 算 法 , 即 惟一 需要 保 
密 的 是 密 钥 而 不 是 大 量 的 密码 机 制 ? 

6.1.02 (*) 为 什么 能 够 抵抗 已 知 和 自 适 应 的 明文 攻击 是 非常 必要 的 , 且 胜 于 仅仅 抵抗 唯 密 
文 攻击 。 

6.1.03 (*) 既然 一 次 一 密 密 码 相当 的 安全 ， 为 什么 不 能 用 作 缺 省 的 通用 密码 呢 ? 


6.2 ”数据 加 密 标 准 


数据 加 密 标准 DES， 已 诞生 20 多 年 了 ， 由 于 它 的 密 钥 空间 很 小 ， 现 在 已 显得 很 落伍 。 
美国 电子 阵线 基金 (Electronic Frontier Foundation ) 花 了 几 年 时 间 综 合 评估 了 可 用 于 破解 DES 
密码 的 机 器 费用 和 破译 速度 , 于 1998 年 用 了 大 约 100 000 美金 研究 出 了 一 台 能 在 两 天 内 计算 
出 DES 密 钥 的 机 器 。 然 而 ，DES 已 经 存在 了 20 年， 并 且 没 有 发 现 隐 蕊 的 或 有 值得 怀疑 的 弱 
点 。 并 且 看 起 来 三 重 DES (进行 3 次 DES 加 密 ) 依然 是 安全 的 。 同 时 ，DES 无 论 是 在 硬件 
上 还 是 软件 上 都 较 容易 实现 。 总 而 言 之 ， 在 对 付 新 的 密码 分 析 上 ，DES 的 安全 性 比 许多 后 出 
现 的 对 称 密码 好 一 些 . 许多 软件 中 都 已 谋 入 了 DES， 所 以 无 论 我 们 是 否 宣布 废弃 它 ， 在 未 来 
的 很 多 年 内 它 都 将 会 被 使 用 。 即 使 会 被 一 个 安全 性 较 高 的 标准 所 代替 ， 要 面 对 不 断 增 加 的 计 
算 速 度 ，DES 依然 可 以 提供 足够 的 安全 性 。 

如 你 想像 的 那样 ，DES 比 传统 密码 复杂 。 在 这 里 不 厌 其 烦 地 描述 DES 的 部 分 原因 是 为 
了 让 你 明白 它 并 不 容易 理解 。 特 别 是 与 其 沉溺 于 细 枝 末节 ， 还 不 如 去 简单 的 了 解 这 里 到 底 有 
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多 少 细节 。 

DES 使 用 长 度 为 64 位 的 密 钥 ， 其 中 8 位 为 错误 校 验 位 ， 因 此 实际 上 密 钥 只 有 56 位 (其 
中 每 个 字 节 的 第 8 位 是 奇偶 校 验 位 )。 目 前 仍 具 有 竞争 力 的 高 级 加 密 标准 (AES)， 其 密 钥 长 
度 为 128 位、192 位 和 256 位 。DES (分 组 密码 ) 一 次 加 密 一 个 64 位 的 明文 分 组 ，AES 则 将 
加 密 128 位 的 分 组 。 

关于 DES 的 问题 ， 一 直 存 在 着 政治 干预 。 在 1970 年 初 ，IBM 的 一 个 组 设计 了 它 的 前 身 
Lucifer， 最 终 由 NSA 将 其 设计 完成 。NSA 减少 了 它 的 密 钥 长 度 并 且 修 改 了 一 些 被 称 为 S 盒 
的 东西 。 花 了 20 年 时 间 依 然 没 有 发 现 其 所 固有 的 弱点 ， 一 些 人 推断 也 许 NSA 并 没有 植 入 陷 
门 。 密 钥 的 长 度 之 小 一 直 被 怀疑 ， 但 那 不 是 个 秘密 。 

在 这 里 我 们 考虑 DES 的 描述 。 一 个 精细 的 设计 说 明 需 要 花费 大 量 的 计算 时 间 用 于 验证 。 
除了 暴力 攻击 之 外 ， 已 经 发 明了 两 种 “现代 ”的 密码 分 析 的 攻击 方法 : 差分 密码 分 析 法 和 线 
性 密码 分 析 法 。 简 单 来 说 ， 差 分 密码 分 析 法 就 是 系统 地 研究 明文 中 的 - -个 细小 变化 是 如 何 影 
响 密 文 的 ， 线 性 密码 分 析 法 是 通过 线性 函数 去 逼近 加 密 结 果 。 任 何 一 种 检测 模式 都 能 提高 攻 
击 者 寻找 密 铀 的 效率 ， 如 果 一 个 诀窍 可 以 使 工作 量 减 少 到 千 分 之 一 ， 其 效果 并 不 显著 ， 但 如 
果 能 够 将 工作 量 减少 到 10" 分 之 一 ， 则 具有 决定 性 的 意义 。 

DES 进行 16 轮 加 密 , 这 意味 着 它 是 一 个 简单 过 程 的 重复 , 每 一 个 过 程 称 为 Feistel 网 络 ， 
我 们 将 简短 的 描述 它 。 人 们 已 发 现 如 果 轮 数 少 一 些 (如 12 轮 密码 )， 会 使 密码 明显 地 比 完整 
的 DES 易 受 攻击 。 . 

Feistel 网 络 的 基本 思想 比较 简单 ， 找 出 一 个 是 自身 反 务 数 的 可 送 函 数 。 确 定 一 个 正 整 数 
n, 在 DES 的 情况 下 可 为 32。 提供 一 个 长 度 为 2n 的 字符 串 ， 把 它们 分 成 两 组 ， 左 半 部 分 志和 
右 半 部 分 R。 我 们 可 以 把 工 生 看 作 长 度 为 n 的 向 量 ， 每 一 项 的 值 为 模 2 的 余数 。 将 了 当成 
只 要 输入 nn 位 的 数据 就 产生 n 位 输出 的 函数 。 符 合 Feistel 网 络 的 忆 将 2n 位 的 工 和 尺 作 为 输 
入 ， 通过 以 下 也 数 产生 的 2n 位 的 输出 : 

Fy(L,R)=(L® f(R),R) 

其 中 田 表 示 向 量 加 法 〈 对 应 位 )， 然 后 再 模 2 约 简 。( 如 果 你 能 明白 它 的 意义 的 话 ， 它 与 
比特 对 的 异 或 XOR 相同 。) 因为 某 些 原因 ， 习 惯 把 这 种 加 法 写 为 田 ， 虽 然 我 们 仅 在 这 一 小 节 
中 遵循 这 一 惯例 。 

例如 ，n =5 的 向量 模 2 加 法 为 ; 

(1,b1,0,0) ® (1,0,1,1,1) 
={1+ Ll+0,1+1,0+1,0+D)%2 


= (2,1,2,1,1)%2 
= (0,1,0,1,1) 


Feistel 网 络 密 钥 的 特点 就 是 如 果 你 两 次 采用 了 相同 的 上， 你 就 能 恢复 出 最 初 的 输入 : 
Fi(F(L, RD)= FLOf(R),R)= (LO F(R Df(R),R)=(L,R) 
因为 当 我 们 采用 模 2 约 简 的 时 候 ， 对 于 任意 矢量 v 
v Byv = (0,0,0,...) 
其 依据 是 0+0=0 和 1+1=0。 
因此 无 论 f 多么 古怪 , 我 们 都 不 用 担心 它 的 可 道 性 和 如 何 找到 它 的 反 函 数 , 这 一 点 很 好 ， 
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内 为 我 们 就 可 以 集中 精力 去 选择 那些 能 够 产生 大 量 混淆 和 扩散 的 方法 。 我 们 使 用 一 些 基于 密 
钥 的 有 几 分 穿 门 的 函数 f ,通过 一 些 彼此 间 简 单 的 混合 来 重复 这 一 过 程 ,这 正 是 DES 所 做 的 。 

在 选择 了 特定 的 函数 /，, 依赖 于 某 一 密 钥 的 情况 下 , DES 的 每 一 个 轮 都 是 我 们 前 面 描述 
的 Feistel 网 络 的 增强 版 。 

开始 时 ，64 位 的 密 钥 每 8 位 一 组 进行 移 位 并 根据 以 下 规则 重新 排列 ， 则 称 为 密 钥 置换 ; 

S7 49 41 33 25 17 9 1 S8 50 42 34 26 18 

10 2 59 S51 43 35 27 19 11 3 60 52 44 36 

63 $5 47 39 31 23 15 7 62 $4 46 38 30 22 

14 6 61 53 45 37 29 21 13 5 28 20 12 4 

这 将 按照 顺序 从 左上 角 开始 ， 从 左 到 右 ， 从 上 向 下 来 读 。 这 些 数 之 间 有 一 定 的 规律 ， 在 
每 一 行 上 的 数 是 以 8 递减 的 , 到 0 的 时 候 又 重新 开始 . 这 些 符号 的 含义 在 于 对 密 钥 实施 置换 ， 
即 密 钥 的 第 57 位 将 换 到 第 ! 位 的 位 置 (因为 57 是 列表 中 的 第 1 个 数 )， 第 49 位 将 换 到 第 2 
位 的 位 置 ( 因 为 49 是 列表 中 的 第 2 个 数 )， 第 41 位 将 换 到 第 3 位 的 位 置 (因为 41 是 列表 中 
的 第 3 个 数 )， 依 次 类 推 。 这 种 方法 比较 简单 。 

该 算法 的 一 个 重要 部 分 是 每 一 轮 中 都 使 用 56 位 密 钥 中 不 同 的 48 位 子 密 钥 (我 们 从 起 始 
的 64 位 密 钥 中 去 掉 每 一 个 第 8 位 )。 如 何 使 用 这 些 密 钥 被 称 为 是 密 钥 的 时 序 安排 。 首 先 ， 对 
于 DES 的 每 一 轮 ， 密 钥 被 等 分 成 两 部 分 ， 每 部 分 28 位 ， 根 据 轮 数 ， 每 一 个 部 分 都 将 被 循环 
左 移 1 位 或 2 位 。 每 轮 移动 的 位 数 为 ， 

1 2 3 4 4 6 7 8 9 10 11 12 13 14 15 16 

1 1 2 2 2 2 2 2 1 2 2 2 2 2 2 1 
(不 要 问 我 为 什么 !) 通 过 被 称 之 为 压缩 置换 的 方法 , 56 位 的 密 钥 就 映射 成 了 48 位 的 子 密 钥 ， 
这 意味 着 它 是 不 可 道 的 。 每 一 轮 的 压缩 置换 的 规则 都 是 相同 的 。 

14 17 11 24 ] S$ 3 28 14 6 21 10 

23 19 12 4 26 8 16 7 27 20 13 2 


44 49 39 56 34 53 46 42 50 36 29 32 

也 就 是 说 ， 第 14 位 换 到 了 第 1 位 的 位 置 〈 因 为 14 是 列表 中 的 第 1 个 数 )， 第 17 位 换 到 了 第 
2 位 的 位 置 《内 为 17 是 列表 中 的 第 2 个 数 )， 这 看 上 去 的 确 很 神秘 。 于 是 通过 压缩 置换 的 处 
理 ， 移 动 1 位 或 2 位 的 变换 以 及 对 初始 密 钥 的 置换 ， 结 果 就 是 为 每 一 个 16 轮 产 生 一 个 48 位 
的 子 密 钥 。 我 们 将 简单 描述 如 何 使 用 它 。 

正如 前 面 所 指出 的 那样 , 每 一 轮 DES 对 文本 处 理 都 依据 该 轮子 密 铀 (以 及 在 哪 一 轮 )。 亡 
表示 第 i 轮 的 左 半 部 分 ，R, 表 示 第 i 轮 的 右 半 部 分 。 因 而 ， 从 一 轮 计算 下 一 轮 的 公式 可 以 表 
示 为 : 

(Li, Ri)= (Ri, Li ® /Ri ) 

其 中 ，/ 依赖 于 第 i 个 子 密 钥 .注意 除了 做 Feistel 网 络 处 理 外 ， 我 们 还 将 文本 分 成 左右 两 半 
进行 调换 ， 这 样 就 难以 区 分 真正 的 左右 部 分 。 我 们 必须 对 函数 f 进行 描述 并 且 解 释 它 是 如 何 
依赖 于 第 i 个 子 密 钥 的 。 

在 每 一 个 轮 中 ， 首 先 针对 右 半 部 分 Ri 做 一 个 特定 的 (相当 简单 的 ) 扩展 建 换 处 理 或 EE 
盒 处 理 。 它 接收 32 位 的 输入 ， 产 生 4 和 8 位 的 输出 ， 通 过 以 下 规则 给 出 (使 用 与 前 面相 同 的 系 
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32 1 2 3 4 5 4 5 6 7 8 9 8 9 1 1 
12 13 12 13 14 15 16 17 16 17 18 19 20 21 20 21 

22 23 24 25 24 25 26 27 28 29 28 29 30 31 32 1 
注意 这 种 模式 并 不 是 非常 复杂 。 但 是 ， 由 于 文本 中 一 位 的 变化 会 引起 密 文中 多 位 的 变化 ， 这 
就 意味 着 对 最 初 明文 中 的 很 少 位 的 改变 将 导致 密 文中 很 多 位 的 改变 ， 这 将 是 一 个 雪崩 效应 。 
即使 只 改变 一 位 ， 经 过 DES 16 轮 的 计算 ， 最 终 会 使 密 文 改变 许多 位 。 雪 贿 效 应 因此 而 得 名 。 

在 每 一 轮 ， 从 下 盒 输出 的 48 位 都 将 与 该 轮 48 位 的 子 窗 钥 (取决 于 具体 在 哪 一 轮 〉 进行 
异 或 处 理 〈 即 模 2 加 )。 

DES 最 关键 且 最 神秘 的 部 分 就 是 对 48 位 子 密 钥 和 来 自 于 已 盒 的 48 位 输出 使 用 了 代替 盒 
或 者 $ 盒 ， 这 也 是 它 获得 安全 性 的 重要 部 分 DES 算法 共有 8 个 S$ 盒 ， 每 一 个 S 盒 都 是 6 位 
输入 4 位 输出 。48 位 的 输入 数据 被 分 成 8 个 6 位 的 分 组 并 分 别 送 入 8 个 S 盒 。( 前 6 位 使 用 
第 一 个 S 盒 处 理 ， 第 2 个 6 位 使 用 第 二 个 8 盒 处 理 ， 依 此 类 推 . ) 这 些 输出 再 次 揉 提 在 一 起 
产生 一 个 32 位 的 总 的 输出 。8 个 S 盒 中 的 每 一 个 都 可 以 描述 成 一 个 4 行 6 列 的 表 。 表 中 的 每 
一 项 都 是 一 个 4 位 的 数 ， 意 味 着 范围 是 0~15， 该 数 ( 用 二 进 制 表 示 ) 将 是 S$ 盒 的 输出 。S 盒 
的 6 位 的 输入 指定 的 行 和 列 如 下 。 假 设 6 位 为 b,b,,…,b,,be， 于 是 ; 

行 =2:b+bs 
列 =8:b +4:b3+2:ba+bs 
其 中 行 和 列 的 下 标 开 始 于 左上 和 角 且 从 0 而 不 是 1 开始 。 例 如 ，6 位 的 111010 定义 的 行 是 10 
(在 二 进 制 位 串 中 的 第 1 位 和 第 6 位 )， 列 为 1101 (在 二 进 制 中 , 中 间 的 4 个 位 )。 换 名 话说 ， 
我 们 应 该 查看 第 2 行 第 13 列 ， 所 有 的 情况 都 从 0 开始 。 
从 第 1 个 到 第 8 个 的 S 合 如 下 : 


14 4 13 1 2 13 1 8 3 10 6 12 5 9 0 7 
0 15 7 4 14 2 13 1 10 6 12 1 9 5 3 8 
4 1 14 8 13 6 2 1l 15 12 9 7 3 10 5 0 
153 12 8 2 4 9 1 7 3 11 3 14 10 0 6 13 
15 1 8 14 6 1 3 4 9 7 2 13 12 0 5 10 
3 13 4 7 15 2 8 14 12 0 1 10 6 9 1 5 
0 14 7 11 10 4 13 l 5 8 12 6 9 3 2 15 
13 8 10 1 3 1I3 4 2 1 6 7 12 0 5 14 9 
10 0 9 14 6 3 15 5 1 13 12 7 11 4 2 8 
13 7 0 9 3 4 6 10 2 8 5 14 12 11 15 1 
13 6 4 9 8 15 3 0 11 1 2 12 5 10 14 7 
1 10 13 0 6 9 8 7 4 8 14 3 11 5 2 12 
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10 6 9 0 12 1 7 13 15 1 3 14 5 2 8 4 


3 15 0 10 1 13 8 9 4 5 11 12 7 2 14 

2 12 4 1 7 10 1 6 5 3 15 13 0 14 9 

14 11 2 12 4 7 13 1 3 0 13 10 3 9 8 6 

4 2 ll 10 13 7 8 1I3 9 12 5 6 3 14 

11 8 12 7 1 14 2 13 6 15 0 10 4 5 3 

12 1 10 15 9 2 6 0 13 3 4 14 7 5 11 

10 15 4 2 7 12 9 5 13 14 0 1 3 8 

9 14 15 5 2 12 3 7 0 4 10 1 13 1 

4 3 2 12 9 5 15 10 11 14 1 7 6 0 8 13 

4 11 2 14 15 0 8 13 3 12 9 7 5 10 6 

13 0 11 7 4 9 1 10 14 3 3 12 2 15 8 6 
4 11 13 12 3 7 14 10 15 6 8 0 5 9 

6 ll 13 8 1 4 10 7 9 5 0 15 14 2 3 12 


7 11 4 9 12 14 2 0 6 10 13 13 3 5 8 

2 1 14 4 10 8 13 15 12 9 0 3 5 6 1l 

在 每 一 个 轮 中 , S 盒 的 32 位 的 输出 值 首 先进 入 P 盒 , 即 按照 如 下 规则 完成 一 个 真正 的 置 
换 。 


4 

1 1 13 8 10 3 7 4 12 5 6 11 0 14 9 2 
1 
7 


16 7 20 21 29 12 28 17 1 15 23 26 5 18 31 10 

2 8 24 14 32 27 3 9 19 13 30 6 22 11 4 25 
《符号 的 解释 和 前 面 一 样 )。 

经 过 16 轮 后 ， 左 半 部 分 和 右 半 部 分 的 位 置 并 未 颠倒 。 接 着 就 要 进行 最 后 的 置换 处 理 。 
规则 为 《除了 S 盒 以 外 ， 所 有 的 解释 与 前 面相 同 ); 

40 8 48 16 56 24 6 32 39 

38 6 46 14 54 22 62 30 37 

36 4 44 12 S52 20 60 28 35 

34 2 42 10 50 18 58 26 33 

列 上 的 规律 是 明显 的 。 从 这 里 的 输出 是 密 文 。 

幸运 的 是 因为 Feistel 网 络 的 性 质 ， 并 且 初 置换 和 末 和 置换 的 选择 相对 比较 简单 ,采用 严格 
一 致 的 处 理 过 程 〈 使 用 相同 的 密 钥 ) 就 可 以 解密 。 

显然 $ 盒 能 够 较 好 地 抵抗 差分 密码 分 析 。Bihan 和 Shamir 提出 的 差分 密码 分 析 于 1990 
年 才 引 起 人 们 的 关注 。 一 些 类 似 有 固定 S 金 的 密码 ， 明 显 的 存在 一 些 可 能 受到 自 适 应 明文 攻 
击 的 弱点 。 


47 15 55 23 63 31 
45 13 53 2]1] 61 29 
43 1 SI 19 59 27 
41 9 49 17 S57 25 
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不 希望 直接 受到 的 一 种 攻击 是 线性 密码 分 析 , 由 Mitsuru Matsui 于 1993 年 公布 于 众 。 然 
而 ，DES 可 以 较 好 地 抵抗 这 种 攻击 。 

最 后 ， 看 起 来 没有 一 种 攻击 比 穷 举 密 钥 搜索 更 好 。 它 是 成 功 的 。 

备注 ”以 上 的 描述 仅 涉 及 单一 分 组 的 加 密 。 当 对 大 量 数据 进行 加 密 的 时 候 ， 如 果 对 数据 
的 每 一 个 分 组 分 别 进行 加 密 将 是 一 个 错误 。 假如 这 里 有 许多 数据 , 攻击 者 可 进行 代码 本 攻击 ， 
已 知 密 文 ， 通 过 出 现 频 率 ， 明 密 对 照 Ccribs〉 以 及 已 知 的 密 文 ， 即 使 没有 密 钥 的 信息 ， 也 可 
以 对 明文 进行 推断 。 为 了 避免 这 种 攻击 ， 应 该 以 分 组 链接 的 方式 进行 加 密 ， 也 就 是 说 ， 每 一 
个 分 组 都 影响 它 下 一 个 分 组 的 加 密 ， 同 时 ， 阻 止 代 码 本 攻击 。 

备注 基于 同样 的 原因 ， 对 一 些 会 话 (消息 ) 使 用 相同 的 DES 密 钥 也 不 是 明智 之 举 ， 因 
为 这 样 就 能 够 创建 代码 本 。 实 际 上 ， 目 前 的 应 用 情形 是 对 每 一 个 消息 都 使 用 一 个 “新 ” 密 钥 ， 
称 为 会 话 密 钥 。 但 存在 一 些 明显 的 密 铀 管理 问题 ， 这 些 会 话 密 钥 如 何 协商 ? 在 这 里 当前 的 使 
用 中 ， 公 和 铀 的 方法 是 很 重要 的 ， 如 Diffie-Hellman 密 钥 交换 (在 后 面 将 讨论 ) 等 方法 允许 会 
话 密 钥 建立 在 一 个 保密 且 低 成 本 的 情况 下 。 也 许 很 难 想像 这 将 如 何 完成 ， 并 且 这 种 可 能 存在 
的 情况 的 确 是 公 钥 密码 系统 “不 可 思议 ”的 地 方 。 
习题 

6.2.01(*) 因为 DES 中 的 S 盒 没 有 变量 的 控制 ， 它 们 是 静态 的 。 在 与 DES 类 似 的 密码 中 
使 用 静态 S 盒 可 能 存在 哪些 优势 及 不 利 因素 ? 

6.2.02(*) 使 用 被 称 为 扩展 置换 的 方法 比 “ 普 通 ”置换 方法 好 的 原因 是 什么 ? 

6.2.03(*) 设计 一 个 好 的 图 示范 例 。 在 该 例 中 ， 改 变 DES 输入 的 一 位 ， 通 过 连续 的 多 轮 
后 ， 最 终 在 输出 中 影响 其 他 一 些 位 。 


6.3 ”高 级 加 密 标准 呈 


AES 就 是 高 级 加 密 标准 (Advanced Encryption Standard)， 它 在 2000 年 初 还 处 于 激烈 的 
评选 中 。 这 个 未 来 的 标准 还 没有 完全 指定 ， 但 在 将 来 的 一 些 应 用 中 ， 不 管 怎么 样 它 将 取代 
DES。 但 是 DES〈 以 及 其 他 一 些 老 的 对 称 加 密 密 码 ) 已 经 在 很 多 老 的 软件 中 存在 ， 对 DES 
的 分 析 仍 将 在 一 段 时 间 内 存在 。 

AES 第 一 轮 竞争 已 经 结束 ， 第 2 轮 候 选 者 为 : 

e IBM 的 MARS 算法 

e RSA 实验 室 的 RC6 算法 

e Joan Daemen 和 Vincent Rijmen 的 Rijndael 算法 

e Ross Anderson 、Eli Biham 和 Lars Knudsen 的 Serpent 算法 

e Bruce Schneier、John Kelsey、 Doug Whiting 、David Wagner 、Chris Hall、 Niels Ferguson 

的 Twofish 算法 

新 标准 的 部 分 规范 要 求 是 非常 明确 的 : 无 论 如 何 ，AES 应 当 满 足以 下 要 求 。AES 应 该 有 

一 个 大 的 分 组 长 度 ， 使 用 128 位 取代 DES 中 64 位 的 分 组 。AES 应 该 允许 128 位 、192 位 和 





人 AES 评选 活动 已 于 2000 年 10 月 结束 ， 最 终 确 定 Rijndael 算法 为 AES 的 唯一 算法 。2001 年 11 月 美国 
国家 标准 和 技术 研究 所 已 经 正式 发 布 AES 为 联邦 信息 处 理 标准 第 197 号 (FIPS197 )。 一 一 译 者 注 
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256 位 的 密 钥 。 也 可 以 假设 它 比 三 重 DES 也 希望 比 DES 快 ) 快 。NIST 美国 国家 标准 和 技 
术 研 究 所 也 要 求 一 些 候选 密码 算法 放弃 它 的 专利 权 ， 如 果 该 密码 被 选 为 新 标准 的 话 。 

相对 于 DES 使 用 静态 $ 盒 〈 无 变化 的 ) 的 情况 ,一 些 候选 人 提出 了 一 个 有 趣 的 主意 ， 那 
就 是 使 用 动态 的 $ 盒 。 也 就 是 说 ， 在 $ 盒 中 ， 密 钥 的 参数 在 某 种 程度 上 进行 了 改变 。 这 存在 
着 一 些 优点 ， 但 是 也 潜伏 着 一 些 缺 点 。 一 方面 ， 如 果 S 盒 是 动态 的 ， 那 么 攻击 者 就 很 难 预先 
分 析 它 们 了 。 但 另 一 方面 ， 密 码 设计 者 也 不 容易 系统 地 测试 动态 的 $ 合用 以 确定 它们 是 否 具 
有 令 人 满意 的 特征 。 

静态 的 S 盒 与 动态 的 $ 盒 的 问题 派生 出 另 一 个 问题 ， 那 就 是 $ 盒 的 可 分 析 性 。 看 起 来 
DES 中 的 S$ 盒 最 初 显 著 的 优点 是 较 简 单 的 ， 那 就 是 它 能 抵抗 数 十 年 的 实验 分 析 。 另 一 方面 ， 
有 一 些 可 证 明 特 性 的 S 盒 也 许 比 仅 有 通过 实验 或 统计 验证 的 方法 更 好 。 但 是 对 于 是 否 以 及 如 
何 达 到 这 一 点 还 不 是 很 清楚 。 

也 许 在 2000 年 中 的 某 个 时 候 ， 新 的 标准 将 从 第 2 轮 的 竞争 者 中 选 出 。 


习题 


6.3.01 给 出 至 少 两 个 为 什么 AES 允许 密 钥 长 度 可 变 的 不 同 原因 。 

6.3.02 解释 为 什么 基于 安全 的 考虑 而 鼓励 在 AES 中 使 用 比 DES 大 的 分 组 。 

6.3.03 与 使 用 根据 不 同 来 源 获得 的 各 种 其 他 密码 算法 相 比较 ， 为 什么 我 们 需要 一 个 像 
AES 那样 的 标准 密码 算法 ? 





~ 


7.1 整除 性 


对 于 普通 整数 集合 Z 以 及 整数 加 、 减 、 乘 ,与 除 (在 存在 的 情况 下 ， 并 不 是 所 有 整数 x 和 
y 的 商 x/7y 都 是 整数 ) 的 运算 ， 我 们 都 有 一 个 非常 好 的 直观 认识 。 在 这 里 ， 我 们 将 给 出 一 些 
特别 是 关于 整除 性 的 术语 ， 并 包括 了 最 直接 的 素性 测试 。 

并 不 是 所 有 的 整数 都 能 被 另 一 个 整数 整除 ， 我 们 给 出 一 个 定义 : 两 个 整数 q 和 nn， 如 本 
n/d 是 整数 ， 则 称 整 数 4 整除 n (或 者 说 d 是 nn 的 一 个 因子 )。 这 等 价 于 存在 男 -个 整数 大 使 
得 n= ka 。 作 为 等 价 的 术语 ， 我 们 也 可 以 等 价 地 说 如 果 a 整除 nw， 则 是 4 的 倍数 。 

也 就 是 说 最 好 使 用 标准 的 方法 来 描述 : 如 果 存 在 整数 使 得 n= kd 则 称 d 整除 n〔 比 使 
用 商 n/q 表达 更 好 )。 

如 果 n 的 因子 4 不 是 tn 或 者 +l 的 话 ， 则 称 4 是 一 个 真 因子 。n 的 倍数 是 一 个 真 倍数 ， 
如 果 它 不 是 tn 。 符 号 4 1n 读 作 “4 整除 hn”。 注意 任 何 q 都 可 以 整除 0， 因 为 da.0=0。 换 句 
话说 ，0 惟一 整除 的 一 个 数 就 是 它 本 身 。 

一 个 没有 真 因 子 的 正 整 数 被 称 为 素数 ， 那 么 它 只 能 被 它 自己 、 它 的 负数 以 及 +1 整除 ， 通 
常 我 们 只 关注 正 素 数 。 

以 下 是 一 个 最 简单 但 却 不 是 一 个 最 有 效 的 测试 素数 的 方法 。 该 方法 具有 这 样 的 性 质 ， 如 
果 一 个 整数 不 是 素数 ， 则 采用 这 个 方法 可 以 找到 它 的 最 小 因子 gd ， 且 4 >1。 

命题 正 整 数 n 是 素数 当 且 仅 当 它 不 能 被 任何 整数 4 整除 ， 其 中 1< cs<s Vn。 

证 明 首先 ， 如 果 d|n 并 且 2<4<Vn， 那 么 整数 n/4 满足 

Vn<n/d<n/2 
(这 里 我 们 只 在 实数 范围 内 考虑 不 等 式 !) 因此 ， 两 个 因数 4 和 n/a 都 不 可 能 是 +1 或 者 +m 。 
因此 ，7z 不 是 素数 。 

另 一 方面 ， 如 果 n 有 一 个 真 分 解 为 n= de ， 其 中 e 是 两 个 因子 中 大 的 那个 ， 那 么 : 

d=n/e<n/d 
所 以 d? <n， 因 而 ，4d Vn。 

如 果 能 同时 整除 m 和 nn 的 整数 仅仅 只 有 +l1， 则 称 m 入 互 素 或 互 质 的 。 如 果 m 和 nn 是 互 
素 的 ， 我 们 也 可 以 说 m 对 nn 是 素数 。 对 于 一 个 正 整 数 n， 与 其 互 素 的 且 小 于 等 于 的 正 整数 
的 个 数 可 以 表示 为 g(n) ， 被 称 为 欧 拉 函数 。( 通 过 反复 试验 的 方法 来 计算 p(n) 并 不 是 最 好 的 
方法 ， 稍 后 我 们 将 给 出 更 好 的 方法 .) 

命题 

e 如 果 aj5b5 并 且 b|lc， 那 么 a|c。 

e 如 果 d|x 并 且 d|y， 那 么 对 任意 球 数 a 和 65 有 dad|(ax+by)。 

证 明 如 果 alb， 那 么 必然 存在 整数 使 得 ak =b。 如 果 51c， 那 么 必然 存在 整数 人 使 
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得 只 =c 。 那 么 ， 在 第 二 个 等 式 中 使 用 ak 代替 尺 ， 我 们 就 可 以 得 到 ， 
c=bl=(ak):.t=a-(k) 
所 以 ajec 。 
如 果 dlx ， 那 么 必然 存在 整数 mw 使 得 dm=x。 如 果 d|y， 那 么 必然 存在 整数 使 得 
dn = y 。 那 么 ， 





ax+by= a(mad)+b(nd)= (am+ bn).d 
所 以 ，ax+by 是 4 的 倍数 。 全 
命题 n 和 WN 是 两 个 整数 ， 并 且 n|N， 那 么 对 于 任意 整数 x 有 
(XW%N Yon = x%on 
证 明 设 N=jn， 上 为 整数 ， 设 x=O.N+R， 其 中 0 <R<N|，R 称 为 x 模 的 余数 ， 
再 设 R=g.n+r， 其 中 0 <r <n|，r 称 为 有 模 n 的 余数 。 因 而 : 
X=QON+R=QO(kn)+aqnt+r= (QkF+q):nt+r 
因此 x 模 有 的 余数 也 为 + 。 人 2 
如 果 整 数 4 能 够 整除 任何 一 个 整数 ,…,n,, ， 则 称 4 是 整数 1,…,n, 的 公 因 子 。 如 果 整 
数 是 任何 一 个 整数 的 倍数 ， 则 称 N 是 整数 集 …,n; 的 公 倍数。 
定理 ”m 和 为 不 同时 为 0 的 整数 ， 在 m 和 的 所 有 公 因 子 中 存在 惟一 的 公 因 子 dq ， 使 
得 对 m 和 nn 的 任何 其 他 公 因 子 e 都 满足 elq ， 其 中 4 >0， 则 该 公 因 子 d 被 称 为 最 大 公 因 子 或 
m 和 nn 的 ged。 两 个 整数 m 和 nn 不 同时 为 0) 的 最 大 公 因 子 是 以 xm+ yn 表示 的 最 小 正 整 数 ， 
其 中 x,yeZz。 
备注 ”m 和 nn 的 最 大 公 因子 表示 为 gcd(m,n) 。 如 果 两 个 整数 的 最 大 公约 数 为 1， 则 这 两 
个 整数 是 互 素 或 称 互 质 的 。 从 而 ， 如 果 它 们 是 互 素 的 则 可 以 称 m 对 于 是 素数 。 定 理 给 出 了 
gcd 的 一 个 古怪 但 重要 的 特征 。 
证 明 设 DD=xom+yon 为 形 如 xm+ yn 的 最 小 正 整 数 。 首先 , 我 们 证 明 m 和 的 因子 4 能 
够 整除 DD 。 将 m 和 nn 表 示 为 m=m'd，n=n'd ， 其 中 m,n'e ZZ， 因 而 : 
D=xom+ yon=xo(md)+ yond)=(xom + yon'):d 
这 的 确 表明 了 DD 是 4 的 倍数 。 | 
另 一 方面 ， 利 用 除法 算法 可 以 将 m 表示 为 m=gqD+r， 其 中 0<r < D， 于 是 : 
0O<r=m-gD=m-g(xomt+ yon)=( -qxo) :m+(-yo):n 
因此 ，r 也 可 以 通过 x 和 y' 表 示 为 xm+ yh。 因为 -<D， 并 且 D 是 按 这 种 方式 表示 的 最 小 
的 正 整 数 ， 因 而 必 有 r=0， 所 以 D|m 。 同 理 D|n。 和 
按照 对 偶 的 概念 ， 用 倍数 代替 因子 ， 可 以 得 到 以 下 推论 : 
推论 。m 入 为 不 同时 为 0 的 整数 ， 在 m 入 的 所 有 公 倍 数 中 存在 惟一 的 公 倍数 N， 使 
得 对 m 和 n 的 任何 其 他 公 倍数 M 都 满足 N|M， 其 中 入 >0， 该 公 倍数 入 被 称 为 最 小 公 倍 数 
或 m 和 nn 的 lem。. 
备注 ”如 同 我 们 先前 注意 到 的 ， 通 过 将 数 m 和 分解 为 素数 因子 的 乘积 ， 我 们 就 可 以 很 
容易 地 找到 它们 的 最 大 公 因 子 和 最 小 公 倍 数 ， 对 每 一 个 素数 p ， 整 除 gca 的 p 的 方 若 是 整除 
m 和 整除 4 的 p 的 最 小 方 军 。 因 为 对 于 每 一 个 素数 都 是 这 样 ， 所 以 我 们 就 得 到 了 最 大 公 因 子 
的 素 因子 分 解 。 例 如 : 
gcd(23.37 .52.113,21.32.53.72.112)=21.32.52.112 
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因为 2 是 2 的 两 个 方 守 中 较 小 的 那个 ，3? 是 3 的 两 个 方 窜 中 较 小 的 那个 ，5* 是 5 的 两 个 方 
军 中 较 小 的 那个 ，7 是 7 的 两 个 方 军 较 小 的 那个 ，11? 是 11 的 两 个 方 罕 中 较 小 的 那个 。 在 m 
和 的 内 式 分 解 中 取 每 一 个 素数 的 两 个 方 军 中 较 大 的 那个 ， 就 可 以 得 到 最 小 公 倍数 。 

然而 ， 我 们 很 快 就 会 看 到 使 用 这 种 方法 (通过 整数 的 素 因子 分 解 式 ) 来 计算 最 大 公 因 子 
和 最 小 公 倍 数 的 效率 是 非常 低 的 。 


习题 


7.1.01 找 出 60 的 所 有 因子 ， 你 如 何 确认 你 已 经 找 出 了 所 有 的 因子 ? 

7.1.02 找 出 80 的 所 有 因子 ， 你 如 何 确认 你 已 经 找 出 了 所 有 的 因子 ? 

7.1.03 找 出 90 的 所 有 因子 ， 你 如 何 确认 你 已 经 找 出 了 所 有 的 因子 ? 

7.1.04 找 出 96 的 所 有 因子 ， 你 如 何 确认 你 已 经 找 出 了 所 有 的 因子 ? 

7.1.0S 对 所 有 小 于 100 的 数 ， 要 么 确定 它们 是 素数 ， 要 么 将 它们 分 解 成 素 因 子 乘积 。 

7.1.06 直接 由 整除 性 的 定义 证 明 ， 如 果 d |m， 则 4d|(-m)。 

7.1.07 直接 从 整除 性 的 定义 证 明 ， 如 果 ad|x 和 4d|y， 则 4d|(x+y) 与 41(x 一 力 成立。 

7.1.08 不 用 计算 ， 观 察 1331 和 14 641 不 是 素数 。 

7.1.09 不 用 计算 ， 观 察 10 510 100 501 不 是 素数 。 

7.1.10 找 出 10 001 的 大 于 1 的 最 小 因子 4 。 

7.1.11 找 出 12 344 321 的 大 于 1 的 最 小 因子 a。 

7.1.12 找 出 2、4、8、16、32、64、128 的 最 小 公 倍数 。 

7.1.13 证 明 对 于 任意 整数 部 ， 如 果 dln 且 dl(a+2)， 则 dl|2 。 

7.1.14 证 明 对 于 任意 著 数 n，nn 与 n+1 一 定 是 互 素 的 。 

7.1.15 证 明 对 任意 球 数 n， 在 n、n+2、n+4 中 只 有 一 个 可 以 被 3 整除 。 特 别 地 ， 除 了 
3、5、7 以 外 ， 再 没有 三 个 素数 是 n、n+2、n+4 模 式 的 。 

7.1.16 证 明 对 任意 蒜 数 n，n 与 n* +1 是 互 素 的 。 

7.1.17(*) 证 明 对 任意 整数 4，16n? +8n+1 与 16n? -8n+1 的 最 大 公 因 子 是 1。 

7.1.18(*) 证 明 对 任意 两 个 整数 m 和 ,它们 的 最 小 公 倍数 lcm(m,n) 存在 ， 而且 可 以 通过 
公式 lcem(m,n) = m:n/gcd(m,n) 计算 得 到 。( 注 意 ; 不 要 使 用 最 大 公 倍 数 存 在 的 假设 来 证 明 该 
公式 。) 

7.1.19(*) m 和 nn 是 两 个 互 为 素数 的 正 整数 ， 证 明 gp(mn) = pm): p(n)。 其 中 ，p(N) 是 欧 
拉 g 函数 ， 该 函数 用 于 计算 比 N 小 ， 并 且 与 N 互 素 的 正 整 数 的 个 数 。 

7.1.20(*+*) 随机 选择 的 两 个 正 整 数 有 多 大 的 可 能 性 互 为 素数 。 


7.2 因 式 惟一 分 解 


我 们 能 够 证 明 将 整数 分 解 成 素数 因子 的 乘积 ， 且 该 因 式 分 解 的 方法 是 惟一 的 。 也 许 从 直 
观 上 看 起 来 是 正确 的 ， 因 为 我 们 已 经 通过 小 的 整数 证 明了 这 个 假设 的 正确 性 。 它 确实 是 正确 
的 。 但 值得 引起 注意 的 是 这 件 事 如 何 去 证 明 ， 特 别 是 稍 后 我 们 将 试图 证 明 一 些 空想 出 来 的 数 
的 因 式 分 解 是 惟一 的 ， 那 时 候 我 们 的 直觉 就 不 够 用 了 。 因 为 稍 后 我 们 就 会 注意 到 ， 通 常 “ 各 
种 各 样 ” 的 数 都 能 惟一 分 解 为 素 因 子 的 观点 是 不 正确 的 ， 这 一 点 必须 注意 。 

在 此 ， 我 们 给 出 哆 拉 g 函数 go( 站 的 计算 公式 ，w(m) 的 定义 为 : 








90 舅 7 站 


9(n)= 与 4 互 紊 是 取 值 范围 为 0<i<n 的 整数 i 的 个 数 

这 个 定义 可 以 用 于 直接 确定 小 整数 n 的 g(n) 值 ， 用 这 样 穷 举 攻击 的 方法 是 非常 低 效 的 ， 我 们 
将 给 出 一 个 相当 好 的 公式 。 

我 们 也 看 到 了 很 多 试图 将 整数 分 解 成 素 因 子 乘积 的 天 真 算法 。 为 了 在 给 定 的 范围 内 获得 
所 有 素数 的 列表 ， 我 们 就 会 提 及 埃 拉 托 色 尼 的 筛选 法 ， 这 是 一 种 相当 有 效 的 完成 该 任务 的 方 
法 。 

另外 ， 我 们 有 机 会 回顾 一 些 代数 等 式 ， 它 们 可 以 为 我 们 提供 一 些 捷径 来 确定 一 个 给 定 的 
数 是 否 为 素数 ， 或 者 是 否 可 以 被 分 解 成 素数 的 乘积 。 

定理 ( 因 式 惟一 分 解 ) ”每 一 个 整数 都 可 以 用 本 质 惟 一 的 方式 表示 为 素数 的 、 或 正 或 负 
的 乘积 : 





n=+p1l'p2 "pm 
其 中 ， pi,…, pw 是 互 不 相同 的 素数 ， 所 有 的 指数 都 是 正 整 数 。 
备注 “本 质 惟 一 ”的 意思 是 指 以 不 同 顺 序 表 示 乘 积 不 是 真正 的 “不 同 ”。 使 用 “ 互 不 
相同 ”是 典型 的 数学 用 法 : 它 表 明 “ 它 们 中 的 任意 两 个 都 不 同 ”。 公 式 中 的 土 是 必要 的 ， 因 为 
8. 可 能 是 负数 而 素数 本 身 是 正 数 。 当 然 ，+! 的 因 式 分 解 不 包含 素数 。 
推论 正 整 数 N 可 以 因 式 分 解 为 ; 
N= pI p? :pr 
其 中 ， pl,…,p, 是 互 不 相同 的 素数 ， 指 数 e 是 非 负 的 整数 ， 因 此 ，N 的 欧 拉 g 函数 值 为 : 


p(N)=(P-DPf (ps -Dp (ps, -lp 


该 定理 的 证 明 要 依据 如 下 关键 的 引 理 ， 该 引 理 看 起 来 是 显而易见 的 ， 其 实 不 然 。 

引 理 设 p 是 一 个 素数 ,假设 a 和 45 是 整数 ， 且 p|(ab)， 那么 pla 和 plb 中 至 少 成 立 一 
个 。 

证 明 ( 引 理 的 证 明 ) ”如果 pla， 就 已 经 得 到 引 理 的 结论 了 。 假 设 p 不 能 够 整除 a， 那 
么 最 大 公 因 子 gcd(p,a) 不 是 p ， 但 这 个 最 大 的 公 因 子 也 应 该 是 p 的 因子 ,并 且 是 正 数 。 因 为 
P 是 素数 ， 它 的 正 因子 除了 它 本 身 ， 就 是 1 了 。 因 此 gcd(p,a)=1， 从 而 存在 的 整数 x 和 和 y 使 
得 xp+ya=1。 

因为 p|(ab)， 我 们 可 以 得 到 ab = hp ，h 为 整数 。 

b=b:1=b:(xp+ya)=bxp+yba=(bx+yh)':p 
这 表明 4 是 p 的 倍数 。 全 

推论 ( 引 理 的 推论 ) ”如 果 一 个 素数 p 能 够 整除 乘积 aa,…a,， 那 么 p 至少 能 够 整除 其 
中 的 一 个 因子 a,。 

证 明 (推论 的 证 明 ) 采用 归纳 法 。 在 引 理 中 己 证 明 n=2 是 成 立 的 。 假设 p|(al…a,)， 
而 乘积 (qj…a, ) 可 以 记 为 ， . 

aa = (aa 1) a, 
根据 引 理 ，p 要 么 能 整除 w, 要 么 能 整除 aa …a, ; 。 如 果 能 整除 a,， 那 我 们 就 已 经 证 明了 结 
论 。 如果 不 是 ， 那 么 有 p|(al…a, 4) 。 通 过 归纳 法 ， 这 意味 着 p 能 够 整除 a,a,,…,a,_! 中 的 
一 个 因子 。 总 而 言 之 ， 我 们 总 结 出 p 能 够 整除 乘积 aia,…a, 中 的 一 个 因子 。 他 
证 明 (定理 的 证 明 ) 首先， 我 们 证 明 对 任意 整数 必然 存在 因 式 分 解 ， 然 后 再 证 明 它 是 惟 
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一 的 。 仪 考虑 正 整 数 的 因 式 分 解 就 足够 了 ， 内 为 很 明显 的 看 到 ，n 和 -2 的 因 式 分 解 是 相对 应 
的 。 

假设 存在 一 个 大 十 1 的 整数 x， 它 不 能 分 解 成 素数 的 乘积 。 因 而 ， 要 么 不 是 素数 ， 要 
么 n=n 是 一 个 因子 为 素数 的 因 式 分 解 。 因 此 ,假设 n 有 一 个 真 分 解 n=xy， 其 中 x,y>0。 因 
为 这 个 因 式 分 解 是 真 分 解 ， 所 以 x 和 yy 必然 严格 小 于 n。 从 而 ，x 和 yy 都 能 够 分 解 成 素数 的 
乘积 ， 把 它们 的 因 式 分 解 式 合 起 来 ， 就 是 n 的 因 式 分 解 。 这 同一 些 整数 没有 素 因子 分 解 式 的 
假设 相 矛 盾 。 

现在 来 证 明 惟 一 性 ， 假 设 ; 





9 多 = 
其 中 不 失 一 般 性 ): 
1 <q < < qn 
Pi< P2 <***< Pm 
都 是 素数 , 指数 e, 和 f 都 是 正 球 数 。 我 们 必须 证 明 m=n, 且 对 于 每 一 个 i 都 有 g,=p;、e=_/。 
因为 9 能 够 整除 等 式 的 左边 ， 那 么 它 也 应 该 整除 等 式 的 右边 。 因 而 ， 根 据 前 面 引 论 的 推 
论 ，9 必然 能 够 整除 右边 的 某 一 个 因子 。 假设 9, 能 够 整除 p, ,因为 P 是 素数 , 故 必 有 gq = p,。 
我 们 申明 i=1。 当 然 ， 如果 i>1， 那 么 pi < p;。 因 为 pi 整除 等 式 的 左边 ， 所 以 它 能 够 整 
除 其 中 的 某 个 g; ， 因 而 pl =9;， 我 们 会 得 到 如 下 的 不 等 式 : 
Pi=q;2>q=p;>n 
这 是 不 可 能 的 ， 故 q = pl。 
更 进一步 ， 用 9 = pi 的 e@ 次 方 寡 去 除 ， 我 们 可 以 推断 出 必 有 对 应 的 指数 ea = f。 
剩 下 的 惟一 性 证 明 就 是 对 N 做 归纳 法 。 首 先 ，1 有 惟一 的 因 式 分 解 ， 称 为 1 的 乘积 。 无 
论 如 何 ，2 是 一 个 素数 ， 它 的 因 式 分 解 为 2 =2。 下 面 进 行 严 格 的 归纳 ， 假 设 所 有 的 小 于 六 的 
整数 N' 可 以 惟一 的 分 解 为 素数 的 乘积 〈 需 要 证 明 的 是 N 也 可 以 惟一 的 分 解 为 素数 的 乘积 )。 
由 如 下 等 式 


中 消去 相同 的 项 g* = pf : 





我 们 已 经 假设 所 有 的 指数 e, 都 是 正 整 数 ， 因 而 ，N /gf' < N 。 通 过 归纳 ， 我 们 知道 N/ gf 可 

以 惟一 的 分 解 为 素数 的 乘积 ， 并 且 我 们 可 以 推断 出 剩 下 的 因子 也 互相 匹配 。 这 就 证 明了 因 式 

分 解 的 惟一 性 。 和 
下 面 我 们 证 明 关 于 欧 拉 9p 函数 值 的 推论 : 


P(N)=(p1 -Dpr (pa 一 DBP2 (ps ~ Dp 
其 中 ，n = pr?' pr'… p“” ， 因 子 p; 是 不 同 的 素数 ， 所 有 的 指数 都 是 正 整 数 。 这 个 推论 的 证 明 可 


通过 计数 的 方法 来 完成 ; 我 们 将 对 介 于 0 到 N -1 之 间 的 与 Y 有 公 因 子 的 整数 x 进 行 计 数 ， 并 
减 去 重复 的 计数 。 通 过 惟一 的 因 式 分 解 ， 如 果 x 与 Y 有 一 个 公 因子 ， 则 它 就 与 V 有 一 个 素数 
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公 因 子 。 这 样 就 存在 NN /pi 个 能 够 被 p; 整除 的 数 ， 那 么 我 们 可 以 说 在 指定 范围 内 与 六 没有 公 
因子 的 数 的 个 数 为 : 





p: PP Pn 
然而 ， 一 般 来 说 这 并 不 正确 : 我 们 把 可 被 两 不 同 p; 整除 的 数 计算 了 两 次 ， 所 以 我 们 应 该 在 所 
有 表达 式 NW/ PP 中 再 加 上 被 减 去 的 数 ， 其 中 ，i# 7 。 但 是 这 样 我 们 又 多 加 了 一 些 东 西 ， 所 
以 还 应 减 去 表达 式 N/ pipjpk， 其 中 i,j,k 互 不 相同 。 内 此 : 


O(N)=N-— 二 + 二 2 人 


TP: i PD DPI 








=N.0 0- 二 
Pn 


0 
pi Pp2 Pn 
=(p -Dp (ps -Dp (ps -Dp 


这 正 是 我 们 所 希望 的 公式 。 

备注 在 证 明 的 结尾 部 分 我 们 用 到 的 方法 是 一 种 解决 计数 问题 的 非常 重要 的 原理 ， 有 些 
时 候 它 被 称 为 容 斥 原理 (inclusion-exclusion principle ) 。 

获得 素数 因子 分 解 的 最 明显 (但 不 是 很 有 效 ) 方法 是 上 面 提 到 的 素性 检验 法 。 如 下 所 示 。 
通过 用 整数 4 = 2,3,4,5,6,7,… 夸 VN 去 除 N， 直 到 找 出 N 的 最 小 的 因子 因为 止 ， 其 中 四 >1， 
或 者 判定 入 没有 小 于 VN 的 因子 。 在 后 一 种 情况 ，N 是 素数 。 在 前 一 种 情况 ， 通 过 用 整数 
d=d, 丰 + +2<JVN/d 去 除 N1qdi， 直 到 找到 N /4 的 大 于 1 的 最 小 因子 4, ， 或 者 是 
确定 N/a 没有 小 于 VN/ql 的 因子 。 在 后 一 种 情况 ，N /4 是 素数 。 在 前 一 种 情况 ， 通 过 用 
整数 d=4,,4d; +1,q; +2,… 志 YN/qid; 去 除 N/qdid, 来 寻找 它 的 最 小 因子 4;， 且 qd; >1， 或 者 
是 判定 N/qdiq; 没有 小 于 YN/qdid, 的 因子 。 在 后 一 种 情况 ，N /qid; 是 素数 。 在 前 一 种 情况 


当 N /qdid,…d, 为 素数 时 ， 递 归 运 算 就 结束 了 。 同 时 ，N 如 果 没 有 1<d < VN 范围 内 的 
因子 4 ， 则 N 是 素数 。 

备注 “可 用 明显 的 方法 稍 加 改进 就 能 使 上 述 程 序 更 加 简洁 有 效 ， 如 上 所 述 ， 要 求 因 
子 d 时 , 没有 必要 用 合 数 去 做 除法 。 因为 如 果 4d =ab 是 a,b>1， 则 我 们 早 就 能 检测 到 a 和 
b 是 不 是 一 个 因子 。 另 一 方面 ， 被 检验 的 数 越 大 ， 则 避免 用 一 个 合 数 去 做 试 除法 时 就 越 
加 不 利 。 

一 些 折 囊 的 方法 是 可 取 的 ， 没 有 必要 对 2 以 外 的 偶数 去 做 试 除 法 ， 也 没有 必要 去 试验 5 
或 10 的 倍数 。 该 方法 的 依据 时 用 十 进 制 表 示 的 整数 ， 很 容易 判别 是 否 可 以 被 2、5 或 10 整 
除 。 

提出 一 个 略 有 不 同 的 问题 ， 我 们 如 何 找到 小 于 w 的 所 有 素数 。 一 个 合理 的 寻找 过 程 是 埃 
拉 托 色 尼 的 筛选 法 ， 描 述 如 下 。 列 出 所 有 的 从 2 到 的 所 有 整数 。 

。 从 2+2 开始 ， 标 出 列表 中 所 有 2 的 倍数 。( 就 样 就 标 出 了 列表 中 所 有 大 于 2 的 偶数 。) 

e@ 列表 中 还 没有 被 标 出 来 的 下 一 个 整数 〈 在 2 的 后 面 ) 是 3， 从 3+3 开始 ， 标 出 列表 中 

所 有 3 的 倍数 (那些 已 经 标 出 的 也 计算 在 内 )。( 这 样 就 标 出 了 列表 中 所 有 大 于 3 且 为 
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3 倍数 的 数 。) 

e 列表 中 还 没有 被 标 出 来 的 下 一 个 整数 〈 在 3 的 后 面 ) 是 5， 从 5+5 开始 ， 标 出 列表 中 
所 有 5 的 倍数 〈 那 些 已 经 标 出 的 也 计算 在 内 )。( 这 样 就 标 出 了 列表 中 所 有 大 于 5 日 为 
5 倍数 的 数 。) 


e 列表 中 还 没有 被 标 出 来 的 下 一 个 整数 为 n，n 为 素数 ， 从 n+n 开始 ， 标 出 列表 中 所 有 
n 的 倍数 那些 已 经 标 出 的 也 计算 在 内 )。( 这 样 就 标 出 了 列表 中 所 有 大 于 nn 且 为 n 倍 
数 的 数 。) 


。 直 到 你 已 经 标 出 了 小 于 VN 的 最 大 素数 的 所 有 倍数 ， 该 过 程 就 结束 了 。 
例如 ， 对 2 到 31 的 一 个 整数 列表 ， 我 们 如 果 执 行 这 一 过 程 ， 我 们 首先 制作 列表 : 




















根据 这 一 原则 ， 下 一 个 没有 标 出 的 整数 是 7， 但 因为 7 大 于 V31， 所 以 在 列表 中 没有 被 标 出 
的 整数 是 素数 。 


的 : 


在 分 析 一 些 特殊 形式 的 整数 和 特殊 多 项 式 的 因 式 分 解 时 ， 一 些 标准 的 恒等式 是 很 有 用 


x” -y=(x—y)(x+y) 

x yp = (x yx +xy+y) 

x ty = x+ -xy +y) 

x ey =x I +x y+xy +y) 

x yy = x yx tx y+ yy + +y) 
x ty = ty) x y+x yy xy +y’) 
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如 此 类 推 。 需 要 注意 的 是 对 于 夺 指 数 有 两 个 恒等式 ， 对 于 偶 指 数 只 有 一 个 恒等式 。 
例如 ， 我 们 也 许 会 对 整数 4 的 mw -1 这 种 形式 是 否 为 素数 感到 好 奇 ， 我 们 可 以 这 样 做 : 
ml=n-D):.n +n+l) 
因此 ， 如 果 因 子 n-1 和 ww +n+1 都 介 于 1 各 一 1 之 间 ， 那 么 mr -1 就 有 一 个 真 的 因 式 分 解 ， 
所 以 wm -1 不 是 素数 。 实 际 上 ， 很 容易 看 出 每 一 个 因子 都 满足 大 于 1 并且 小 于 mw ~1。 可 以 看 
到 ， 当 nn=2 时 ， 表 达 式 mw -1 的 值 是 7， 这 是 一 个 素数 。 因 此 ， 我 们 最 好 不 要 试图 去 证 明 这 
个 表达 式 永远 不 为 素数 。 
当 ?>2 时 ， 很 明显 mn-1>2-1=1， 这 是 一 个 比较 。 另 一 方面 ， 同 样 对 于 > 2 会 有 : 
n-l<2.2.:n-l<n:n.n-—l 
因此 ， 当 n>2 时 ，0<n-1<n -1。 也 就 是 说 ， 对 于 n>2，m -1 不 可 能 是 素数 。 
在 历史 上 源 于 娱乐 而 在 今天 依然 有 现实 意义 的 一 类 特殊 的 数 是 形 如 2 -1 的 数 。 如 果 这 
样 的 数 是 素数 ， 那 么 它们 被 称 为 梅森 素数 〈Mersenne prime)。 不 知道 是 否 有 无 限 多 的 梅森 素 
数 存 在 。 
另 一 类 特殊 形式 的 数 是 2” +1， 如 果 这 样 的 数 是 素数 ， 那 么 它们 被 称 为 费 马 素数 。 不 知 
道 是 否 存在 无 限 多 的 费 马 素数 。 很 明显 ， 费 马 曾 明确 地 认为 2”+1 可 能 是 素数 , 但 100 年 后 ， 
这 一 点 被 欧 拉 证 明 是 错误 的 。 


习题 


7.2.01 将 1028、2057 分 解 成 素数 的 乘积 。 

7.2.02 不 使 用 计算 器 ， 找 出 111 111 111 111 111 的 因子 。 

7.2.03 不 使 用 计算 器 ， 找 出 110 111 101 111 011 的 因子 。 

7.2.04 不 使 用 计算 器 ， 找 出 101010 101010 101 的 因子 。 

7.2,05 证 明 / 观 察 仅 根 据 十 进 制 数 的 一 位 还 不 足以 判断 该 数 是 否 可 以 被 3 或 7 整除 。 

7.2.06 解释 当 n>2 时 为 什么 nw? -1 不 是 素数 。 

7.2.07 解释 当 n>1 时 为 什么 3” -1 不 可 能 是 素数 。 

7.2.08 解释 为 什么 2”+1 不 可 能 是 素数 除非 m 是 2 的 罕 。 

7.2.09 我 们 知道 x2? 一 y?、x3? 一 户 、xX 十 yy’ 都 可 以 进行 因 式 分 解 ， 但 在 高 中 很 少 对 更 难 
的 代数 式 x* +4ys 进行 因 式 分 解 ， 其 实 x*+4y“ 可 以 用 两 个 三 项 二 次 式 的 因 式 分 解 表 示 ， 求 
该 因 式 的 分 解 〔 提 示 : x4+4y* =(x*+4x2y +4y1)-4x*y?)。 

7.2.10 如 果 整 数 n 大 于 1，n* +4 会 是 一 个 素数 吗 ? 

7.2.11 将 xs 一 ys 按 两 种 不 同 的 方式 进行 因 式 分 解 。 

7.2.12(*)〈 欧 几 里 得 关于 素数 无 穷 多 的 证 明 ) 假设 只 存在 有 限 多 个 素数 pi, p,,…, p,。 考 
虚 N = pip，… ps +1， 证 明 没有 一 个 p, 能 够 整除 N。 由 此 推断 ， 必 然 存 在 某 个 不 在 该 列表 中 
的 其 他 素数 ， 从 而 产生 了 矛盾 。 


7.3 欧 几 里 得 算法 

欧 几 里 得 算法 (Euclidean algorithm〉 是 寻找 两 个 整数 m 和 nn 的 最 大 公 因 子 4 一 个 非常 重 
要 并 且 不 是 那么 显而易见 的 系统 化 过 程 ， 它 的 有 效 性 也 是 很 好 的 。 

它 也 提供 了 一 个 很 好 的 算法 来 寻找 满足 下 列 等 式 的 整数 x,y: 








xm+ yn=d 
(这 个 表达 式 在 最 大 公 因 子 的 存在 性 证 明 中 出 现 过 。) 而 且 ， 欧 几 里 得 算法 还 提供 了 最 
有 效 的 过 程 来 寻找 模 m 的 来 法 逆 元 素 。 我 们 在 下 面 可 以 看 到 ， 欧 几 里 得 算法 的 每 一 个 步骤 都 
是 除法 算法 的 一 个 例子 。 

欧 几 里 得 算法 的 一 个 重要 方面 是 它 避 免 了 将 整数 分 解 为 素数 因子 ， 同 时 这 也 是 实现 这 个 
目标 的 一 个 合理 的 快速 算法 。 这 对 于 手工 计算 和 机 器 计算 都 是 一 样 的 。 

使 用 欧 几 里 得 算法 将 x,y 的 最 大 公约 数 表 示 为 ax+by= gcd(x,y) 的 形式 (以 及 寻找 x 模 
?的 乘法 道 元 素 的 应 用 》， 可 以 使 用 一 种 节约 “存储 空间 ”的 形式 。 在 本 节 的 结尾 ， 我 们 将 对 
此 进行 解释 。 

下 面 我 们 将 举例 描述 欧 几 里 得 算法 。 

对 于 两 个 整数 513,614 执行 欧 几 里 得 算法 : 

614- 1.513 = 101 (614 模 513 约 简 ) 
513 -~ $.101=8 (5$13 模 101 约 简 ) 
101 一 12.8 =5 (101 模 8 约 简 ) 
8-15=3 (8 模 5 约 简 ) 
5 一 1.3=2 (5 模 3 约 简 ) 
3-12=1(3 模 2 约 简 ) 

注意 ， 第 一 步 是 给 定 两 个 数 中 的 大 数 模 小 数 的 约 简 。 第 二 步 是 小 数 模 第 一 步 中 的 余数 的 
约 简 。 在 每 一 步 中 ， 前 一 步 中 的 “ 模 数 ”为 下 一 步 的 “被 除数 ”， 而 前 一 步 中 的 “余数 ”成 
为 下 一 步 的 “ 模 数 ”。 

在 这 个 例子 中 ， 因 为 我 们 最 后 得 到 了 余数 1， 我 们 知道 614 和 513 的 最 大 公 因 子 就 为 1。 
也 就 是 说 ，614 和 513 互 素 。 当 计算 快要 结束 时 ， 我 们 就 知道 得 到 的 最 大 公 因 子 为 1， 但 是 
我 们 还 是 将 整个 过 程 做 完 。 

注意 ， 使 用 欧 几 里 得 算法 来 寻找 最 大 公 因 子 并 不 需要 求 出 素 因 子 分 解 式 ， 因 为 将 整数 分 
解 为 素数 是 一 个 非常 耗费 时 间 的 工作 ， 这 是 公认 的 。 

下 面 给 出 另 一 个 例子 ， 我 们 来 寻找 1024 和 888 的 最 大 公 因 子 : 

1024 一 1.888 = 136〈1024 模 888 约 简 ) 
888 一 6.136 = 72 (888 模 136 约 简 ) 
136-172=64 (136 模 72 约 简 ) 
72-1.64=8 (72 模 64 约 简 ) 
64-8.8=0 (64 模 8 约 简 ) 

在 这 个 例子 中 ， 因 为 我 们 得 到 余数 为 0， 我 们 必须 观察 前 一 行 的 余数 ，8。 结 果 8 就 是 
1024 和 888 的 最 大 公 因 子 。 

在 这 一 点 上 , 有 必要 给 出 欧 几 里 得 算法 在 最 差 情 况 下 的 步骤 数目 的 粗略 估算 值 , 特别 是 ， 
我 们 给 出 的 估算 值 表明 ， 采 用 这 种 方法 来 寻找 最 大 公 因 子 ， 比 将 整数 分 解 为 素数 因子 乘积 并 
逐一 比较 所 有 因子 的 方法 要 快 得 多 ， 而 且 优势 随 着 整数 值 的 增 大 而 更 加 明显 。 

命题 ” 欧 几 里 得 算法 计算 两 个 整数 x>y 的 最 大 公 因 子 所 必需 的 步骤 数 小 于 或 者 等 于 
2.:log»y。 

证 明 ”我们 来 看 在 算法 执行 过 程 中 的 一 些 连续 步骤 ， 这 些 步 又 类 似 如 下 所 示 : 
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下 


=y 
x gy’ =r 
yg"r'=7" 
其 中 ，0r'<y' 且 0<r"<xr'。 我 们 特别 指出 满足 xr"< y'/2。 也 就 是 说 ， 我 们 认为 在 算 
法 的 每 两 步 中 ， 余 数 至 少 以 1/2 的 比例 减少 。( 注 意 所 有 符号 都 表示 非 负 整数 。) 
如 果 已 经 满足 入/12 ， 则 因为 普 <” ， 就 可 以 得 到 我 们 想 要 的 结果 。 另 一 方面 ， 如 果 
六 > 区 /2 但 是 仍然 满足 r"”<r')， 则 很 明显 gq" 必须 为 1， 且 有 : 
r=y -gr =y -rr <r-y/2=y'/2 





这 样 ,在 算法 的 前 两 个 步骤 x 一 gy = 和 ?一 9 = 中 满足 <》。 因 此 ,经 过 2 
步 后 ， 余数 就 小 于 : 
1 ln ln. 
二 GD =)" 


(第 一 个 因数 1/2 是 来 自 于 头 两 步 ， 然 后 每 两 步 就 又 得 到 另 一 个 因子 1/2)。 因 为 当 余数 的 值 
满足 所 1 时 ， 算 法 停止 ， 所 以 当 n 达 到 某 个 值 时 ， 就 有 : 


Gly 
经 过 将 理 得 到 

2" 二 |y| 
或 者 

7 之 ]og2 |y| 


也 就 是 说 ，n (最 差 情况 ) 是 满足 这 个 不 等 式 的 最 小 整数 。 实 际 的 步骤 数 为 2a ， 因 此 有 : 
所 需 步 又 数 <21og, | x| 和 2log; |y| 
这 就 证 明了 命题 。 全 
到 此 为 止 , 我 们 只 是 明白 了 怎样 找到 gcd(x,y) 。 如 上 所 述 ， 对 于 较 小 的 数 , 通过 将 x,y 分 
解 因子 为 素数 并 比较 因子 的 值 , 我 们 也 许 会 觉得 不 是 一 件 很 可 怕 的 事情 ,然而 寻找 整数 a,5 使 
gcd(x,y)=ax+by 
对 小 整数 x,y 也 是 一 件 很 麻烦 的 事情 。 
欧 几 里 德 算法 提供 一 种 找 a,b 的 方法 只 是 有 点 麻烦 ， 需 要 记 下 在 欧 几 里 德 算法 中 出 现 的 
所 有 数字 ， 然 后 进行 回 代 ， 具 体 如 下 所 示 。 
考虑 并 利用 求 614 和 513 最 大 公 因 子 的 过 程 : 
1= 3 一 1.2 算法 的 最 后 一 行 》 
= 3 一 1(5 -13)〈 根 据 前 一 行 表达 式 替 换 2) 
=-15+2.3 (对 $ 和 3 的 项 进行 整理 ) 
=-15+2.(8- 1.5) (根据 前 一 行 表达 式 替换 3) 
=2.8-3.$ (对 5 和 8 的 项 进行 整理 ) 
=2.8-3:(101 ~ 12.8) (根据 前 一 行 表达 式 替 换 5) 
= -3.101 +38-8( 对 101 和 8 的 项 进行 整理 ) 





=-3.101+38.($13 -5.101) (根据 前 一 行 表达 式 蔡 换 8) 
=38.513 一 193:101 (对 513 和 101 的 项 进行 整理 》 
= 38.513 - 193.(614 - $S13)〈 根 据 前 一 行 表 达 式 替换 101) 
=231.513 - 193.614〈 对 614 和 513 的 项 进行 整理 ) 
也 就 是 说 ， 我 们 实现 了 目标 ， 我 们 得 到 ，1 = 231.513 - 193.614。 
为 了 成 功 地 实现 这 个 算法 ， 必 须 明 确 哪些 数 只 是 系数 ， 哪 些 数 需要 用 来 自 于 算法 前 面部 
分 更 复杂 的 表达 式 来 替换 ， 这 一 点 很 重要 。 因 此 ， 很 有 必要 将 其 执行 过 程 写成 这 种 形式 ， 即 
系数 写 在 前 面 ， 需 要 替换 的 数 放 在 后 面 。 


习题 


7.3.01 不 用 因 式 分 解 ， 求 gcq(102 313,103 927) 。 

7.3.02 不 用 因 式 分 解 ， 求 gcd(82 933,145 393) 。 

7.3.03 ”不 用 因 式 分 解 ， 求 gcd(216 793,256 027) 。 

7.3.04 求 gcqd(1112,1544) ， 并 将 其 表示 为 如 下 形式 : 1112x+1544y ， 其 中 x,y 为 整数 。 
7.3.05 求 gcd(117,173)， 并 将 其 表示 为 如 下 形式 ，117x+173y， 其 中 x,y 为 整数 。 
7.3.06 求 gcd(10 201,32 561) ， 并 将 其 表示 为 如 下 形式 : 10 201x+32 561y ， 其 中 x,y 


为 整数 。 
7.3.07 求 gcd(12 345,54 32D ， 并 将 其 表示 为 如 下 形式 : 12 345x+54 321y ， 其 中 x,y 
为 整数 。 


7.3.08 ”对 于 给 定 的 整数 n ,证明 两 个 整数 区 +n? +n+1 和 nn* +n+1 的 最 大 公 因 子 只 能 是 1。 
7.3.09 ”对 于 给 定 的 整数 n， 证 明 两 个 整数 
m+ntn+l 和 ns +n +n +n +n +m +n :+n+l 
的 最 大 公 因 子 只 能 是 1。 
7.4 乘法 逆 元 
现在 我 们 利用 欧 几 里 得 算法 来 求 模 m 的 乘法 逆 元 。 首 先 ， 我们 可 以 证 明 它们 在 一 定 条 件 
下 存在 。 
我 们 来 回想 一 下 ， 如 果 满 足下 列 等 式 ， 则 称 》 是 x 模 闫 的 乘法 逆 元 : 
X. yo = 1 
例如 ，3 是 2 模 5 的 乘法 逆 元 ， 因 为 : 
2.3%5 = 6%5=1 
但 是 ，8 也 是 2 模 5 的 乘法 逆 元 ， 因 为 也 满足 : 
2.8%5 =16%5=1 
也 就 是 说 ， 可 能 存在 几 个 不 同 的 2 模 5 的 乘法 逆 元 。 我 们 现在 解决 这 个 疑问 以 及 存在 性 
问题 。 
命题 设 m 为 一 个 非 0， 非 +1 的 整数 ，x 为 与 m 互 素 的 一 个 整数 ， 则 x 就 有 一 个 模 m 的 
乘法 逆 元 。 特 别 地 ， 满 足 表达 式 ax+ bm =1 的 任意 整数 a 就 是 一 个 x 模 m 的 乘法 道 元 。 另 一 
方面 ， 如 果 x 有 一 个 模 m 的 乘法 逆 元 ， 则 x 和 m 是 互 素 的 。 
证 明 在 证 明 最 大 公 因 子 的 存在 性 时 ， 我 们 已 经 证 明 两 个 整数 x,y 的 最 大 公 因 子 通常 是 
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有 具有 形式 ax + bm (ap 为 整数 ) 的 最 小 正 整数 。 特 别 地 ， 如 果 x,m 互 素 ， 那 么 它们 的 最 大 公 
因子 就 是 1， 因 此 存在 整数 a,0 满 足 akx+pm =1。 也 就 是 说 ， 可 以 得 到 ax = -b+1l1。 因 此 ， 
我 们 用 表达 式 gm +r 来 表示 axr ， 其 中 0 志 r <|m|， 因 为 m 为 非 0， 非 t+1 整数。 因此 ，ax 模 mm 
为 1， 这 正 是 期 望 的 结果 。 

男 一 方面 ， 假 设 y 是 x 模 m 的 乘法 道 元 ， 也 就 是 满足 ;xy%m =1。 因 此 ， 对 于 某 个 整数 
9g， 有 : 

xy=g:m+l1 
设 4d 为 x 和 m 的 公 因 子 ， 并 设 x=dx' 及 m=dm' 。 那 么 ， 重 新 整理 得 到 : 
l=xy -qm= dx'y— gdm’'= d(x'y— qm') 

也 就 是 说 ，4a 整除 1， 这 表明 4 =+1， 因 此 x 与 m 惟一 可 能 的 公 因 子 为 +1， 这 正 是 我 们 所 要 
证 明 的 结论 。 全 

推论 。m 是 非 0 非 +1 的 整数 , x 是 一 个 整数 ,用 网 几 里 德 算 法 求 出 x 和 m 的 最 大 公 因 子 ， 
假如 最 大 公 因 子 为 1, 通过 对 欧 几 里 德 算法 进行 反 向 操作 得 到 表达 式 axtbm=1, 从 而 得 到 xx 模 
m 的 乘法 逆 元 。 

现在 再 来 讨论 所 有 可 能 x 模 关 逆 元 的 特征 。 

命题 假如 y 是 x 模 m 的 乘法 逆 元 ， 对 于 某 个 整数 y ， 如 果 m 整除 y-y ， 那 么 y 也 是 
x 模 m 的 乘法 逆 元 。 相 反 地 ， 假 如 y,y' 都 是 x 模 m 的 乘法 逆 元 ， 则 y-y' 被 m 整除 。 

证 明 假设 对 于 某 个 整数 m，y--y'=km， 设 整数 g 满足 xy=gqm+1 ， 根 据 定义 
xy%m =1， 那 么 

区 =x(y—km)=wy xhm= (qm+1)—xkm=1+m(g— xk) 

也 就 是 说 xy'%m =1。 

男 一 方面 ， 假 设 xy%m =1 和 xy'%m =1，k,k' 是 满足 xy= mk+1,xy' =km+1 的 整数 ， 那 
么 x(y 一 y=(K 一 Kk)m， 由 此 m 整除 yy， 这 个 技巧 后 面 还 将 出 现 。 由 于 x 和 m 互 素 ， 存 在 
整数 a,b 满 足 ax+by=1， 那 么 

y-y=1y-y)=(artbm(y-y)=a(x(y -yD)+bm(y ~ y") 
=a((k— Kk)m)+ bm(y—y') 
这 里 用 (k-k)m 代替 了 x(y--y")， 利 用 前 面 的 等 式 可 得 到 
y-y =m.(a(k—k)+b(y-y")) 

由 此 即 得 y-y' 的确 是 mm 的 倍数 。 全 
习题 


7.4.01 用 反复 试验 的 方法 ， 求 3 模 7 的 乘法 逆 元 。 
7.4.02 用 反复 试验 的 方法 ， 求 5 模 11 的 乘 法 道 元 。 
7.4.03 用 反复 试验 的 方法 ， 求 7 模 11 的 乘法 逆 元 。 
7.4.04 用 反复 试验 的 方法 ， 求 5 模 13 的 乘法 首 元 。 
7.4.05 用 反复 试验 的 方法 ， 求 9 模 11 的 乘法 逆 元 。 
7.4.06 求 n 模 2n -1 的 乘法 逆 元 。 

7.4.07 求 n 模 2n+1 的 乘法 道 元 。 

7.4.08 求 n 模 3n+1 的 乘法 道 元 。 
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7.4.09 求 2 模 大 +1 的 乘法 逆 元 

7.4.10 求 2 模 妈 -1 的 乘法 逆 元 
7.5 乘法 逆 元 的 计算 

当 我 们 运用 欧 几 里 得 算法 由 后 向 前 回 推 试图 找 出 整数 a,5， 使 得 x,y 的 最 大 公 因 子 可 表 
为 ax+ by 时， 我 们 可 以 稍微 运用 一 点 技巧 。 首 先 我 们 回忆 一 下 两 个 2x2 矩阵 的 乘积 ， 一 个 


2x2 的 矩阵 可 表示 为 
a b 
c d 
两 个 这 种 矩阵 的 乘积 定义 为 


a bYA B ad+bC aB+bD 
[ ,| 本 | 
假如 你 还 不 熟悉 这 种 特殊 的 形式 ， 我 们 稍微 解释 一 下 。 一 般 地 ， 为 了 计算 乘积 的 第 i 行 
第 7 列 元 素 ， 我 们 只 需要 用 第 一 个 矩阵 的 第 ; 行 和 第 二 个 矩阵 的 第 了 列 元 素 。 即 
a bya *) (fad+bC * 
CC 
这 里 用 * 表 示 我 们 不 知道 或 不 关心 的 元 素 。 其 他 三 个 式 子 分 别 为 
a bY* BY {* aB+bD 
CO 
本 * A 来 来 * 
[ ,| 站 -ax 
束 本 | 本 B _ * 本 
[ |【 2 [ cB+ | 
我 们 也 可 以 用 其 他 类 型 的 矩阵 。 我 们 来 特别 看 一 下 2x1 的 矩阵 ， 
x 
日 
我 们 可 以 用 一 个 2x2 抢 阵 对 它 进行 左 乘 ， 同 样 有 类 似 的 公式 ， 
a byx)_ ax+by 
ON 
这 种 乘法 能 够 用 来 表示 欧 儿 里 得 算法 中 的 运算 步 又。 假设 我 们 要 对 两 个 正 整 数 zy 运用 
欧 几 里 得 算法 ， 设 q1,n 是 使 得 下 式 成 立 的 整数 ; 
Xpy=n 
(0<n <y)， 则 要 做 的 下 一 步 是 用 yn 分别 代 替 x,y, 这 可 用 如 下 式 子 表 示 : 
y 0 1 x 
Me ,| | 
在 欧 几 里 得 算法 的 每 一 步 ， 按 照 这 样 的 方法 做 下 去 ， 就 可 得 到 一 对 整数 %,y, (其 中 


Xo = X, yo = ), 
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这 里 的 qj 是 满足 0<x, -gl dy | 的 整数 ， 对 所 有 的 下 标 i， 令 


|! 
Mi = 
1 -gi 
因此 欧 几 里 得 算法 继续 直到 
Ma ] -2 
y 0 

假如 矩阵 的 乘积 为 

M,M, iM, 2 MM -| 

cd 

则 我 们 就 得 到 了 


ax+by= gcd(x,y) 
因此 ， 为 了 得 到 高 效 的 欧 儿 里 得 算法 ， 我 们 只 是 需要 一 个 简单 的 计算 M,… Mi 的 高 效 方法 。 
设 i 个 M' 的 累积 表示 为 
避让 
= MiM; Mis MM M! 
Cd 


i i 


当然 《在 保证 矩阵 乘法 结合 律 的 情况 下 ) 
[ 阿 | 
=M, 
co d, Ci di 
ao pl (1 0 
co do) \0 1 


因此 ， 为 了 减少 在 欧 几 里 得 算法 执行 过 程 中 的 “存储 器 ”我们 只 需 记 六 个 量 : 
(i, yi Qi, Bi, Ci, di) 
这 里 的 m =x,yo =y,a0 =1,b0 =0,co =0,4do =1， 为 了 从 第 i 个 六 元 组 得 到 第 i+1 个 六 元 组 ,我 
们 需要 计算 gq,,, ， 使 得 0<x; ~ qi, yy1， 因 此 
Kir Vi Qi Dir cir dim) = (i, Xi — nyis is ds Qi ~ incis bi ~ qimdi) 
在 第 n 步 中 当 y, =0 时 ， 计 算 过 程 结束 。 这 时 ， 
anx+b,y = 8Scd(c 
备注 我 们 仍 没有 证 明 欧 几 里 得 算法 如 我 们 已 声明 的 那 般 运 行 。 
习题 


7.5.01 求 21 模 25 的 乘法 逆 元 。 
7.5.02 求 11 模 26 的 乘法 逆 元 。 
7.5.03 求 12 模 29 的 乘法 逆 元 ， 
7.5.04 求 210 模 251 的 乘法 逆 元 。 
7,5.05 求 19 模 24 的 乘法 道 元 ， 


在 一 开始 我 们 有 
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7.5.06 求 2101 模 2513 的 乘法 道 元 。 
7.5.07 求 1234 模 4321 的 乘法 逆 元 。 
7.5.08 求 21017 模 25139 的 乘法 逆 元 。 


7.6 等 价 关 系 


认为 整数 模 m 与 模 m 约 简 是 有 关联 的 想法 是 很 话 人 的 , 但 这 是 一 个 危险 的 陷阱 。 为 了 讨 
论 更 多 的 复杂 密码 (其 他 事情 )， 我 们 认为 稍微 丰富 的 定义 符号 是 必要 的 ， 除 此 之 外 没有 别 
的 原因 。 
等 价 关系 (定义 在 下 面 ) 的 概念 是 传统 的 相等 概念 的 概括 和 扩充 ， 在 整个 数学 中 随处 可 
见 。 相 关 的 等 价 类 (定义 在 下 面 》 也 具有 同等 重要 的 作用 。 
我 们 的 上 且 的 就 是 要 使 概念 和 记号 更 加 精确 ， 比 如 用 “x~y ”表示 x 和 y 有 一 些 共同 的 特 
性 。 我 们 可 以 为 它 建 立 一 般 的 模型 ， 而 不 用 担心 它们 具体 的 特性 是 什么 。 
回忆 一 下 集合 5 到 集合 T 的 函数 了 的 正式 定义 : 我 们 认为 了 是 一 种 规则 ， 它 将 一 个 输入 
seS “计算 ”或 “关联 ”一 个 输出 f(s)e 7 ， 出 于 某 些 原因 ， 这 个 说 法 是 不 合理 的 。 
合 $S 到 集合 T 的 函数 了 的 正式 定义 (可 能 不 够 直观 ) 是 笛 卡 尔 积 8Sx 了 的 一 个 子 集 G ， 
它 具 有 如 下 性 质 ; 
。 对 于 每 一 个 seS， 刚 好 存在 一 个 :eT ， 使 得 (s,neG。 
将 这 个 性 质 与 如 下 通常 的 符号 联系 起 来 就 有 : 
f(s)=t 如 果 (s,t)eG 
(例如 : 8 和 了 是 真正 的 直线 ，G 是 了 的 一 个 图 )。 
在 比较 正式 的 文章 中 ， 首 先 对 于 集合 S 上 的 关系 RR， 有 一 个 原始 的 一 般 概念 ， 集合 S$ 上 
的 关系 简单 地 说 就 是 5x5 的 一 个 子 集 。 如 果 有 序 对 (x,y) 在 SxS 子 集 R 中 , 则 可 记 为 xRy。 
与 函数 的 正式 定义 相 比较 , “关系 ” 的 定义 可 以 很 清楚 地 表明 每 个 函数 都 是 一 个 关系 。 
但 是 大 部 分 的 关系 不 满足 函数 的 条 件 。“ 关 系 ” 这 种 定义 除了 为 进一步 研究 提供 条 件 之 外 没 
多 大 意义 。 
集合 S$ 上 的 等 价 关 系 尺 是 一 种 特殊 的 关系 ， 它 满足 
e 自 反 性 ， 对 所 有 的 xeS， 则 有 xRx; 
e 对 称 性 ， 假若 xRy ， 那 么 yRx; 
e 传递 性 : 假若 xRy 和 yR: ， 那 么 xRz ; 
等 价 关 系 基 本 的 例子 是 普通 数值 相等 ， 或 集合 相等 ， 或 我 们 熟悉 的 其 他 形式 的 相等 。 等 
价 关系 的 一 个 通用 表示 方法 为 : 
XxX~y 
(是 ~ 而 不 是 R)。 有 时 读 作 x 等 价 于 y， 明 确 指 出 是 等 价 关系 。 
在 集合 R* 上 的 一 个 等 价 关 系 的 简单 例子 可 定义 为 : 
(x%y)~(x,y) 当 且 仅 当 x=x 
也 就 是 说 ， 在 解析 几何 中 ， 两 个 点 等 价 当 且 仅 当 他 们 在 同一 垂 线 上 。 读者 容易 验证 该 全 了 条 
足 等 价 关 系 的 三 个 性 质 。 
设 ~ 表 示 集 合 8 上 的 等 价 关系 ， 对 xeS ,包含 x 的 -等 价 类 x 是 8 的 子 集 


x={x eS:x ~x) 
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S 上 ~ 的 等 价 类 集合 表示 为 9/~ 〈 好 像 我们 是 正在 讨论 某 种 商 )。 每 个 元 素 zs8 当然 包含 在 
某 个 等 价 类 中 ， 使 得 对 所 有 se S 的 等 价 类 都 有 s ~ > 。 

注意 一 般 等 价 类 x 的 等 式 x=y，》 并 不 是 表明 诸如 x=y 此 类 的 东西 , 而 由 x=y 总 可 得 
x=y， 一 般 在 x 中 不 只 是 包含 x 本身 ， 还 有 其 他 元 素 。 

命题 ”~ 表示 集合 8 上 的 等 价 关系 ， 假 如 两 个 等 价 类 x,y 有 共同 的 元 素 z ， 则 x=y。 

证 明 假设 zex 门 y， 那 么 z ~x,z ~ y， 因 此 对 于 任意 一 个 x ex， 我 们 有 

x ~X~Z~) 

利用 ~ 的 传递 性 得 到 x ~ y ， 因 此 对 于 每 个 x ex ， 它 确实 也 在 中。 也 就 是 说 ，xcy 。 同 
理 ， 其 倒 x,y 的 位 置 ， 可 得 到 ycx， 因 此 X=y。 全 

认识 到 我 们 倾向 于 用 x 的 等 价 类 x 的 记 法 来 表示 等 价 类 是 很 重要 的 ， 但 没 必要 这 样 做 。 
因而 说 “集合 S 上 的 等 价 关 系 ~ 的 等 价 类 4 ”是 合法 的 。 

当然 ,给 定 S 上 的 等 价 类 4 ， 在 集合 S 中 找到 x 使 得 x= 4 是 很 方便 的 。x 是 等 价 类 的 代 
表 。 子 集 4 的 任 一 个 元 素 都 是 一 个 代表 ， 因 此 我 们 不 能 认为 一 个 等 价 类 只 有 一 个 代表 。 

命题 ”~ 表示 集合 $ 上 的 等 价 关 系 ， 则 8 上 ~ 的 等 价 类 是 互 不 相交 的 集合 ， 它 们 的 并 集 是 
S 。 

证 明 ”等 价 类 的 并 集 是 整个 集合 并 不 惊奇 ， 给 定 xeS ，x 当然 属于 等 价 类 

{yeS:y~X 

令 4 和 B 是 两 个 等 价 类 ，A4 门 83z 名 ， 因 此 4 =B〔 作 为 集合 )。 由 于 交集 非 空 ， 有 元 素 
yeAN 站 mB， 根据 “等 价 类 ”的 定义 ， 对 于 所 有 的 ae 4 ， 我 们 有 a ~ y， 类 似 地 ， 对 于 所 有 的 
beB， 我 们 有 465~ yy， 根据 传递 性 ， a ~b， 这 对 于 所 有 的 ae 4 ，be B 都 成 立 ， 因此 4=B 
(由 于 4 和 8B 是 等 价 类 )。 4 

一 个 集合 5 的 非 空 子 集 的 并 是 整个 集合 S， 且 它们 是 互 不 相交 的 ， 称 为 S 的 划分 ， 前 一 
个 命题 反 过 来 也 是 对 的 。 

命题 5S 是 一 个 集合 ，X 是 集合 S 的 所 有 子 集 的 集合 ， 且 使 得 是 5 的 一 个 划分 。 用 
x~y 定 义 是 集合 S 上 的 关系 ~， 当 且 仅 当 存 在 Te 外 ， 使 得 xe7T,yeT。 也 就 是 说 ，x~y 当 
且 仅 当 它 们 属于 印 的 同一 元 素 T 中 ， 则 ~ 是 等 价 关系 ， 并 且 它 的 等 价 类 是 的 元 素 。 

证 明 由 于 XX 中 集合 的 并 是 整个 集合 S, 每 个 元 素 xe5 必定 包含 在 某 个 Te 对 (注意 7 
是 5 的 子 集 )。 因 此 ， 我 们 有 自 反 性 x~x。 假 如 x~y， 则 存在 Te 针 且 包含 x 和 y， 当 然 有 
y~x， 所 以 我 们 得 到 了 对 称 性 。 

最 后 ，XX 中 集合 的 互 不 相交 性 保证 每 个 ye 5 只 存在 于 针 的 一 个 集合 中 。 对 于 ye5S, 令 
TT 表示 来 自 于 XY 且 包 含 y 的 惟一 集合 。 如 果 x~y 且 y~z, 则 必 有 xeT 和 ze7 ， 因 为 了 属于 
来 自 针 的 确定 子 集 。 因 此 x,y 都 在 T 中 ， 所 以 x~z， 于 是 我 们 得 到 了 传递 性 。 关 于 验证 等 价 
类 是 天 中 的 元 素 这 一 部 分 ， 留 作 练 习 。 


习题 


7.6.01 证 明 {12,3}x 人 2,3} 的 子 集 {(1,1),(2,2),(3,3),(1,2),(2,1) 是 在 集合 {1,2,3} 上 的 等 价 关 
系 。 

7.6.02 证 明 实 数 域 上 定义 为 xRy 当 且 仅 当 x < 亏 的 关系 xRy 不 是 一 个 等 价 关系 。 

7.6.03 针 是 5S 的 非 空子 集 的 集合 , 所 有 非 空 子 集 的 并 是 整个 S 且 互 不 相交 (因此 XX 是 一 
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个 划分 )。 令 ~ 表示 由 这 个 划分 定义 的 等 价 关 系 。 证 明 等 价 类 是 的 元 素 。 
7.6.04 集合 {1,2,3,4} 有 多 少 个 等 价 关 系 。 


7.7 整数 模 m 


我 们 在 进行 算术 运算 时 ,希望 计算 的 结果 是 模 m 约 简 的 ， 那 么 现在 我 们 就 证 明 可 以 做 模 
m 的 约 简 。 这 个 看 起 来 似是而非 的 事实 《〈 并 且 是 正确 的 ) 如 果 要 用 “原始 ”的 形式 证 明 则 会 
耗费 大 量 的 篇 幅 。 

如 果 有 两 个 不 同 的 整数 x,y 相差 非 零 整数 m 的 某 个 倍数 ， 则 我 们 说 x 模 m 同 余 于 y， 记 
作 

x 三 ymodm 
以 后 任何 这 样 的 关系 被 叫做 模 m 的 同 余 ，m 是 模 数 。 等 价 的 说 法 有 x= ymodm 当 且 仅 当 
m|(x-y»). 

举 一 个 例子 ， 由 于 51(18-3)， 所 以 3=18mod5 ,这 只 是 整除 性 记 法 上 的 不 同 。 这 个 符号 
( 源 于 200 年 前 的 高 斯 ) 的 意思 ， 就 是 让 我 们 用 可 比较 的 特性 ， 把 同 余 当 作 是 等 于 的 变形 。 
同 余 具有 类 似 等 于 的 性 质 ， 但 这 有 竺 证明 ， 不 过 证 明 也 不 复杂 。 在 给 出 这 些 性 质 的 同时 ， 我 
们 也 将 引入 一 些 相 应 的 术语 。 

命题 对 于 固定 的 整数 m ， 模 m 同 余 是 一 个 等 价 关系 ， 即 如 同 前 面 定 义 的 那样 。 

e@ 自 反 性 : 对 于 任意 的 x， 总 有 x=xmodm; 

e 对 称 性 : 如 果 x=ymodm 成立， 那么 有 y=xmodm ; 

e 传递 性 :如果 x=ymodm 有 是 y=zmodm， 那 么 x=zmodm ; 

证 明 因为 x-x=0， 所 以 m10， 自 反 性 成 立 。 如 果 m|(x-y)， 那 么 m|(y-x)， 即 
yx= 一 (x-y)， 因 此 对 称 性 成 立 ,。 设 m|(x-y) 且 m|(y 一 z)， 那么 有 整数 k,《 有 mk=x 一 y， 
ml=y~z， 于 是 有 

XxX—2Z=(xX—-y)+(y-2)=mk+m!= mk +L) 
因此 传递 性 成 立 。 

命题 得 证 。 全 

模 m 的 整数 是 关于 等 价 关系 一 一 模 m 同 余 的 整数 等 价 类 的 集合 ， 记 为 Z/m (或 Z )。 
给 定 一 个 整数 x 和 模 数 m ，x 模 m 的 等 价 类 

yeZ:y=x mod m} 
通常 记 为 x， 被 称 为 x 模 m 的 同 余 类 或 剩余 类 。 有 的 时 候 ， 记 号 上 的 一 模 可 以 略 去 不 写 ， 即 
直接 简单 地 记 为 x 但 需要 保证 通过 上 下 文 能 够 明白 这 表示 x 模 m ， 而 不 是 整数 x 。 

给 出 一 个 例子 ， 对 于 模 数 12， 我 们 有 


0=12=-12=2400 


或 等 价 地 ， 
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0 mod 12=12 mod 12 = -12 mod 12 =2400 mod 12 
7 mod 12= 7 mod 12 = -5 mod 12 =2407 mod 12 
1 mod 12 =13 mod 12= -11 mod 12 =2401 mod 12 
备注 ”有 一 个 传统 的 模 m 等 价 类 代表 元 的 集合 表示 形式 ， 即 
{0,12.… 下 一 2 天 一] 
事实 上 ， 一 些 有 问题 的 文章 将 整数 模 m 定义 为 这 样 一 个 集合 , 但 这 容易 理解 整数 模 m 到底 是 
什么 东西 。 我 们 应 该 对 整数 模 m 约 简 的 集合 (实际 上 是 {0,1,2,.…, m -1l}!〉 和 整数 模 m 的 集合 
加 以 区 别 ， 后 者 是 整数 模 m 等 价 类 的 集合 ， 是 一 个 更 加 抽象 的 东西 。 
很 明显 ， 如 下 表示 是 正确 的 (举例 来 说 ):; 
Z/3= {0,1,2} 





当然 这 样 的 表示 也 是 正确 的 : 
Z/3= {10,31,—1} 
并 且 还 有 许多 不 同 的 方式 描述 整数 模 3 的 集合 。 
也 就 是 说 Z/m 不 是 整数 集合 {0,1,2,3,.…m 一 上 ,而 是 整数 模 m 等 价 类 的 集合 。 集 合 
{0,1,2,3,…,m 一 十 是 模 m 约 简 的 集合 (对 此 还 没有 专门 的 记号 )。 我 们 来 看 如 下 命题 : 
命题 ”给 定 两 个 整数 x,x ， 令 x=gm+r，x'=gm+r'，9q,q,r,r' 为 整数 且 0 和 <r <m| 利 
0<r' dm|， 则 x=x modm 当 且 仪 当 r =r'modm 。 
证 明 如果 x=x modm， 则 存在 整数 使 得 x'=x+km， 那 么 
r=x~-qgm=(x+hkm)-qgm=x+m:(k-q)=qgmt+rt+m(k—g') 
=r+tm:(g+k—gq') 
这 就 证 明了 rr 三 r'modm 。 另 一 方面 的 证 明 类 似 。 全 
同 余 除了 是 一 个 等 价 关 系 之 外 ， 它 还 有 基本 算术 运算 的 加 法 、 减 法 和 乘法 。 
命题 ”对 于 固定 的 模 数 m ， 如 果 x=x', 那么 对 所 有 y 
Xt+ysx +ymodm 
xy=xymodm 
事实 上 ， 如 果 y=y 那么 
XxX+y==x+y' modm 
XxX:y=Xx.y modm 
证 明 只 需要 证 明 更 加 普遍 的 结论 就 足够 了 。 因 为 x' =sxmodm， 所 以 ml(x-x’)， 那 么 
存在 整数 使 得 mk =x' -x， 即 我 们 有 x'=x+mk。 类 似 地 ， 对 于 整数 我们 有 y'= y+ lm 。 
于 是 
Xt+y =xX+mk)+(y+tm) =x+y+m(k+t) 
所 以 就 有 
XxX+y=xX+ymodm 
而 
x y=(xtmk) (ytml)=x:. yt xmlt + mky+ mk. ml=x. y+m:(k+{+mke) 
所 以 xy = xymodm 。 . 
作为 上 述 命 题 的 一 个 推论 , 同 余 直 接 继承 了 普通 算数 运算 的 一 些 性 质 , 比如 因为 x=y 即 
意味 着 有 x=ymodm : 
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@ 分 配 律 x(y+2z)=xy+xzmodm 

@ 加 法 结合 律 : (x+y)+z=x+(y+2Z)modm 

@ 来 法 结合 律 ，(xy)z =x(yz)modm 

e 1 的 性 质 : 1.x=x:l=sxmodm 

e 0 的 性 质 : 0+x=x+0=xmodm 

利用 这 些 性 质 ， 我 们 就 可 以 放心 地 做 模 m 运算 ， 而 不 至 于 产生 混淆 。 作 为 一 种 符号 ， 我 
们 用 

Z/m 
来 表示 整数 模 m ， 并且 如 果 x= ymodm ， 我 们 就 将 两 个 整数 x,y 视 为 相同 的 . 因此 在 Z/m 中 
只 有 m 个 元 素 ， 在 为 它们 正好 就 是 模 m 的 m 个 同 余 类 (剩余 类 )。 通 常 我 们 将 
0,1,2,…,m 一 2,m 一 1 当 作 ZZ/m 中 的 元 素 ， 但 这 却 是 不 太 合 适 的 。 

还 有 一 些 比 较 实用 的 结论 ， 而 且 也 是 我 们 习以为常 的 东西 : 

e m=0modm 且 对 任何 整数 ，jom = 0modm; 

® x+(-x)=0modm; 

e x+tm=xmodm 且 对 任何 整数 k，x+km=xmodm; 
注意 到 所 有 的 讨论 中 ， 我 们 一 次 只 考查 一 个 模 数 m 。 

推论 ”对 于 固定 的 模 数 m ， 在 每 个 剩余 类 中 怡 好 存在 一 个 整数 是 模 m 的 约 简 。 因 此 
x=yimodma 当 且 仅 当 x,y 模 m 有 同样 的 约 简 ， 也 就 是 说 ，x= ymodm 当 且 仪 当 x,y 被 m 除 
时 有 相同 的 余数 。 

证 明 ”对 于 固定 的 整数 x ， 利 用 除法 运算 ， 则 存在 惟一 的 0 委 r 科 | 站 | 和 整数 4 使 得 
x=gm+r ,因此 x-r= gm 可 以 被 m 整除 ， 所 以 x 和 r 在 同一 个 剩余 类 中 。 因 为 x 是 约 简 的 ， 
因此 这 就 证 明了 对 于 每 个 剩余 类 至 少 存在 一 个 约 简 的 代表 元 。 

另 一 方面 ,〈 验 证 约 简 算法 的 惟一 性 !) 假设 有 x=x',r' 的 取 值 范围 为 0<r'<|m|。 如 果 
0 入 六 < ， 那 么 

0O<r' -r=(r—x)-(r~—x) - 
是 m 的 倍数， 而且 我 们 有 0<r'-r<r'<|m|。 但 m 的 倍数 不 可 能 满足 >0 且 <jm|， 所 以 不 可 
能 有 0<r <r'。 另 一 方面 ,假设 0<r'<r ， 前 面 讨论 的 对 称 性 ， 同 样 可 以 得 到 一 个 矛盾 。 
此 ”= 六 ， 这 就 证 明了 惟一 性 。 全 
推论 。” 对 于 给 定 的 模 数 m 和 整数 x,y ， 为 简便 起 见 我 们 用 
XYom 
表示 x 模 m 的 约 简 ， 则 
(x+y)%m = (x%m) +(yWm) Yom 
xy)%m = (x%m) (yhm)) hm 
证 明 x'=(x%m) 的 剩余 类 与 x 本 身 的 剩余 类 相同 。 因 此 模 m ， 我 们 就 有 
((x%om) + (ym)) Wm = (x%m) + (yyWm) = x+y 
因为 我 们 已 经 证 明了 如 果 x =x 且 y=y， 则 x’+y =x+y。 类 似 的 x+y=(x+y)%m ， 由 此 
利用 传递 性 ， 有 
((x%m) + (ym) Wm = (x + yom 
上 述 推导 过 程 对 乘法 同样 成 立 。 全 
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至 此 ， 我 们 明显 得 到 了 这 样 的 印象 ， 辣 余 的 所 有 性 质 完全 遵循 了 普通 等 式 的 性 质 以 及 初 
等 算术 的 性 质 。 
我 们 再 回 到 模 闫 的 乘法 逆 元 问题 上 来 。 即 为 了 求 得 元 素 a 模 靖 的 乘法 道 元 ， 我 们 需要 求 
解 如 下 关于 x 的 方程 
ax=1modm 
这 里 的 整数 a 是 给 定 的 。 除 非 a =+1， 方 程 ax =1 的 解 x = te 不 是 整数 。 但 这 不 是 我 们 所 要 
的 。 实 际 上 回想 一 下 ， 如 果 gcd(a,m) =1,， 则 存在 整数 x,y ， 使 得 
ar+J = gcd(a,m)=!1 
那么 ax -1=Jm 是 m 的 一 个 倍数 ， 它 包含 着 方程 
ax=1modm 
除非 a=+t1， 如 果 仅 仅 央 为 x = la 不 是 一 个 整数 ， 这 个 x 不 可 能 是 UVae。 我 们 需要 的 是 另外 
一 些 新 的 东西 。 
之 前 我 们 已 经 证 明 ，a 有 一 个 乘法 逆 元 当 且 仅 当 gcd(a,m)=1， 而 且 欧 几 里 得 算法 确实 
是 求 乘法 逆 元 的 有 效 方法 。 
根据 前 面 讨论 的 结果 ， 我 们 对 与 m 互 素 有 有 乘法 逆 元 的 模 m 整数 指定 一 个 专门 的 符号 : 
Z/m” 
此 式 中 上 标 不 是 一 个 “x”， 而 是 一 个 “ 乘 ”的 符号 ， 是 指 乘法 与 乘法 道 元 。 
命题 ”两 个 与 m 互 素 的 整数 x,y 的 乘积 jy 仍然 是 与 m 互 素 的 。 
证 明 考虑 这 一 问题 的 一 种 方法 是 利用 整数 的 素 因子 分 解 ， 但 我 们 不 用 它 。 我 们 利用 如 
下 事实 :两 个 整数 ab 的 最 大 公 因 子 可 表示 为 
gcd(a,b)= sat+tb 
其 中 s,t 为 整数 。 由 已 知 条 件 ， 存 在 整数 o,p,c,d 使 得 
1= ax+bm 1=cy+ dm 
那么 就 有 
1=1:1= (ax+bm)(ey+ dm)= (ac)(xy) + (bey + axd + bdm)m 
1 可 表示 为 A(xy)+ Bm 的 形式 ， 因 经 志和 m 是 互 素 的 。 全 
所 以 在 Z/m* 中 ， 我 们 就 可 以 做 乘法 和 求 逆 运算 。 


习题 


7.7.01 求 一 个 整数 x 使 得 (x%1009)%1013 冯 x%1013。 

7.7.02 两 个 正 整 数 n 和 NN， 其 中 不 能 整除 NN， 求 一 个 整数 x 使 得 (x%N)%n zx%6n 。 
7.7.03 集合 Z/n 有 和 多少 个 元 素 ? 

7.7.04 集合 Z/30” 有 多 少 个 元 素 ? 

7.7.0S 集合 Z/24* 有 多少 个 元 素 ? 

7.7.06 用 模 10 约 简 100000000001。 

7.7.07 先 计算 再 用 指定 的 模 数 约 简 : 110x124 模 3，12+1234567890 分 别 模 10。 
7.7.08 在 2” 的 十 进 制 展 开 式 中 ， 计 算 它 的 个 位 数字 。 

7.7.09 计算 21990%11 (提示 : 不 要 用 大 于 11 的 数 )。 

7.7.10 计算 3.00%11 (提示 : 不 要 用 大 于 11 的 数 )。 
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7.7.11 在 3?” 的 十 进 制 展 开 式 中 ， 计 算 它 的 个 位 数字 。 
7.7.12 求 3 模 100 的 乘法 逆 元 。 
7.7.13 求 1001 模 1234 的 乘法 道 元 。 
7.7.14 找 出 三 个 不 同 的 模 105 的 剩余 类 x ， 使 得 x? = lmod105 。 
7.7.1S 找 出 三 个 不 同 的 模 143 的 剩余 类 x ， 使 得 xz =lmod143 。 
7.7.16 证 明太 -六 =102 没 有 整数 解 。( 提 示 : 当 考 虑 平方 时 ， 总 是 首先 试验 模 4， 检 验 
模 4 仅 有 的 平方 是 0 和 1) 
7.7.17 证 明 x? + y=3 没 有 整数 解 。( 提 示 ， 考 察 模 7 的 立方 是 多 少 ? ) 
7.7.18 证 明 x ?+y”+z?=4 没 有 整数 解 。( 提 示 : 模 9? ) 
7.7.19 证 明 x? +3y?+6z; -9ws =2 没有 整数 解 。 
7.7.20 舍 9 法 : 证 明 对 于 一 个 整数 n=aj…aao， 有 n=ap+…+ql+aomod9 ,其 中 
4,…,al,a0o 是 十 进 制 数 。 
7.7.21 用 售 9 法 证 明 123456789123456789+234567891234567891z 358025680358025680。 
7.7.22 用 舍 9 法 证 明 
123456789123456789 x 234567891234567891 
z 28958998683279996179682996625361999 
当然 不 能 直接 用 手工 方法 检查 ， 也 许 大 多 数 计算 器 将 会 发 生 溢出 。 


7.8 本 原 根 和 离散 对 数 


在 这 一 节 中 我 们 将 简单 解释 什么 是 本 原 根 ( primitive root )， 并 阐述 我 们 所 做 假设 的 正确 
性 。 本 原 根 的 存在 性 将 在 以 后 证 明 ， 这 个 证 明 需 要 做 大 量 的 准备 工作 。 本 节 还 将 定义 离散 对 
数 。 

设 为 正 整数 ， 整 数 g 是 模 n 的 一 个 本 原 根 ,如 果 对 于 每 个 与 4 互 素 的 x 都 存在 一 个 整数 
1， 使 得 


 g‘=xmodn 


对 于 给 定 的 g 和 给 定 的 x, 具 备 这 一 特性 的 整数 { 则 是 x 的 以 g 为 底 模 n 的 离散 对 数 。 为 
了 避免 于 其 他 普通 的 对 数 相 混 淆 , 有 时 x 的 以 g 为 底 模 n 的 离散 对 数 被 称 为 x 的 以 g 为 底 模 n 
的 指数 。 
对 于 大 多 数 整数 nx ， 不 存在 模 n 的 本 原 根 。 作 为 一 个 例子 ， 对 于 模 索 数 7 的 情形 ，3 是 
一 个 本 原 根 ， 因 为 〈 均 模 7) | 
31=3 
32=9 =2 
33=27=6 
34=81=4 
37=243 =5 
34=729=1 
这 里 通过 求 连续 的 方 军 ,我 们 看 到 所 有 非 0 的 数 模 7 都 是 3 的 方 赛 〈 当 然 是 模 7)。 这 种 
方法 被 称 作 穷 举 验证 。 


相 比 而 言 ， 整 数 模 8 得 到 1,3,5,7, 但 所 有 这 些 都 不 是 本 原 根 。 通 过 计算 我 们 看 到 1 的 宕 


上 


708 雾 7 黄 


是 1，3 的 寡 模 8 是 3 或 1，5 的 方 寒 模 8 是 5 或 1，7 的 方 赛 模 8 是 7 或 1。 模 8 没有 本 原 
根 。 

目前 存在 吏 多 我 们 无 法 使 用 词汇 进行 解释 的 结构 。 稍 微 做 一 些 解释 ， 至 少 精确 说 明 ， 模 
m 的 本 原 根 什么 条 件 下 存在 。 如 定理 所 述 : 

定理 (后 面 证 明 ) ”对 于 那些 存在 模 n 本 原 根 的 整数 nx， 它们 具有 如 下 形式 : 

。 n= p* 有 奇 素 数 p ,并且 e>z1; 

e。 n=2p* 有 奇 素数 p ,并 日 e 二 1; 

@ n=2,4; 

特别 地 ， 存 在 模 素 数 的 本 原 根 。 

进一步 ，Z/n 是 一 个 有 限 集 ， 我 们 将 预期 它 的 元 素 列 表 ， 有 ,有 ,有 ,hh4.… 〈( 包 /n 的 给 定 
元 素 h 的 方 茹 )。 虽 然 其 本 身 无 限 ,不 会 包含 无 限 多 个 模 n 的 不 同 元 素 。 特 别 地 ,不 管 h 是 否 
为 模 n 的 本 原 根 ， 我 们 可 以 想像 存在 正 整 数 : 满 足 : 

hr=lmodn 

满足 上 式 的 最 小 正 整 数 : 是 4 〈 模 n ) 的 指数 或 阶 。 后 面 我 们 可 以 看 到 在 一 些 特殊 情况 下 的 
本 原 根 是 存在 的 ， 我 们 还 将 证 明 : 

命题 设 疡 是 一 个 奇 素数 ，e 是 一 个 正 整 数 。 设 g 是 模 ps 的 一 个 本 原 根 ， 则 


gz =lmodP 
更 一 般 地 
go DP =1mod p” 


这 是 具备 这 些 性 质 的 最 小 正 指数 。 也 就 是 说 , 模 一 个 素数 p 的 本 原 根 的 阶 是 p-1, 模 ps 
的 本 原 根 的 阶 是 (p--1p (后 面 证 明 )。 

备注 在 给 出 这 些 结论 的 证 明 这 前 介绍 它们 ， 是 因为 在 我 们 的 应 用 中 要 用 到 它们 ， 而 其 
这 些 证 明 的 某 些 方面 是 很 难 懂 的 。 后 面 的 章节 的 内 容 将 直接 关系 到 本 原 根 、 阶 、 指 数 和 离散 
对 数 问题 : 费 马 小 定理 、 欧 拉 定 理 、 分 圆 多 项 式 和 其 他 的 内 容 。 


习题 


7.8.01 验证 2 是 模 5 的 一 个 本 原 根 。 

7.8.02 验证 2 是 模 11 的 一 个 本 原 根 。 
7.8.03 验证 2 是 模 25 的 一 个 本 原 根 。 
7.8.04 验证 2 是 模 10 的 一 个 本 原 根 。 
7.8.0S 求 以 2 为 底 模 5 的 3 的 离散 对 数 。 
7.8.06 求 以 3 为 底 模 7 的 2 的 离散 对 数 。 
7.8.07 求 以 3 为 底 模 5 的 2 的 离散 对 数 。 
7.8.08 求 以 3 为 底 模 23 的 2 的 离散 对 数 。 
7.8.09 求 以 2 为 底 模 25 的 3 的 离散 对 数 。 
7.8.10 求 以 3 为 底 模 101 的 2 的 离散 对 数 。 
7.8.11 求 以 2 为 底 模 125 的 3 的 离散 对 数 。 
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7.8.12 选 模 17 的 两 个 不 同 本 原 根 + 和 s* ，log, 和 log, 分 别 表 示 以 x 和 * 为 底 的 离散 对 数 。 
验证 log, 2 =log, slog,2。 

7.8.13 证 明 , 对 于 模 m 的 两 个 不 同 本 原 根 + 和 s ，jog, 和 log, 分 别 表示 以 x 和 s 为 底 的 离 
散 对 数 ， 则 对 任意 模 m 非 零 的 x 都 有 


log, x=log, s:log, x 





按照 现 密码 的 标准 衡量 ， 希 尔 密码 又 是 一 个 失败 的 例子 ， 但 是 它 揭示 了 一 些 比 较 有 趣 的 
东西 。 它 是 第 一 个 分 组 密码 之 一 ， 意 味 着 它 能 够 处 理 比 单个 字符 大 的 多 的 信息 块 。 


8.1 希 尔 密码 原理 


在 了 解 了 代替 换 密码 的 缺陷 后 “特别 是 周期 密码 )， 例 如 维 吉 尼 亚 密码 ， 人 们 希望 寻找 
一 种 不 同 的 或 者 至 少 采用 更 加 复杂 机 制 的 加 密 方 法 。 

尽管 分 组 密码 与 序列 密码 之 间 的 区 别 通常 仅仅 只 是 一 个 度 的 问题 , 但 是 希 尔 密码 (Lester 
Hill，1929) 还 是 可 以 被 看 作 一 种 分 组 密码 。 这 种 密码 算法 在 机 制 上 增加 的 数学 特性 似乎 在 
当时 给 人 们 留 下 了 深刻 的 印象 ， 并 从 此 使 得 数学 在 密码 学 中 担任 更 重要 的 角色 。 在 第 二 次 世 
界 大 战 中 ， 该 密码 被 用 来 对 无 线 电 呼叫 信号 进行 加 密 。 加 密 和 解密 均 通 过 机 械 设 备 (而 不 是 
电子 设备 ) 来 完成 。 

给 定 分 组 长 度 为 W 〈 这 也 可 以 是 密 钥 的 一 部 分 )， 并 选择 一 个 N X 可 着 矩阵 天 ， 其 元 
素 属于 Z/26。 此 下 即 为 密 钥 。 将 一 个 具有 NN 个 字符 的 分 组 y=(y,y,,.……., yw) 重新 写 为 N X1 
矩阵 ( 列 向 量 ): 


用 矩阵 乘法 对 此 矩阵 进行 加 密 ; 
Exr(y)=K:y 
也 就 是 说 ，Ex(y) 中 的 第 /个 字符 Ex(y) 为 : 


N 
Exg(y)= DKyy; 
j=l 


其 中 ，K; 为 K 的 第 (由 个 元 素 。 这 里 我 们 可 使 用 整数 模 26 对 字符 进行 方便 的 编码 。 

根据 前 面 的 假设 ， 解 密 阶 段 Dx 使 用 天 的 《乘法 ) 逆 短 阵 KK"!。 实 际 上 ， 根 据 矩 阵 敢 法 
的 结合 律 ， 使 用 密 钥 天 进行 解密 与 使 用 天 - 进行 加 密 是 一 样 的 : 

Dx (Er(y)=K (Ky)=(K™ K)y=1yy=y 

注意 ， 这 并 不 是 在 寻找 乘法 逆 矩 阵 ， 因 为 寻找 乘法 道 矩 阵 是 很 困难 的 ， 从 而 防范 了 非 授 
权 的 解密 行为 。 正 如 求 大 矩阵 的 逆 矩 阵 一 样 ， 这 个 求解 困难 并 不 是 主要 的 “秘密 ” 

这 里 的 密 钥 空间 潜在 是 无 限 大 的 ， 和 维 吉 尼 亚 密 码 算法 一 样 。 因 为 从 原理 上 看 ， 对 于 明 
文 数 据 块 的 长 度 N《 也 就 是 矩阵 的 大 小 〉 是 没有 限制 的 。 维 吉 尼 亚 密 码 算法 当 分 块 大 小 为 
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时 ， 有 具有 26" 个 密 钥 。 并 不 是 每 一 个 系数 属于 乙 /26 的 N X N 矩阵 都 是 可 道 的 ， 只 有 超过 一 
的 矩阵 是 可 着 的 〈 我 们 将 在 后 面 了 解 这 一 点 )。 因 此 ， 对 分 块 大 小 为 w 的 希 尔 密码 ， 它 共有 
超过 二 ,26” 个 密 铜 。 作 为 一 种 “纯粹 的 ”分 组 密 铀 算法 ， 这 种 密码 算法 当然 是 周期 的 ， 其 


周期 等 于 所 用 的 矩阵 的 大 小 。 

需要 注意 的 是 ， 这 既 不 是 一 种 纯 换 位 密码 ， 也 不 是 一 种 纯 代替 密码 。 因 此 ， 它 没有 那些 
纯 形式 的 缺点 。 事 实 上 ， 许 多 或 大 多 数 “现代 ”密码 算法 都 是 将 换 位 密码 和 代替 密码 算法 有 
机 地 结合 起 来 的 。 但 是 希 尔 密码 算法 具有 线性 的 缺点 ， 我 们 将 在 后 面 进行 讨论 。 


习题 

8.1.01 请 使 用 分 组 长 度 为 2 的 希 尔 密码 对 “mydoghasbigfleas ”进行 加 密 ， 密 钥 为 : 
[站 

8.1.02 已 知 希 尔 名 码 的 密 负 为 上 =| e] 一 组 用 该 密 铀 进行 加 宫 得 到 的 密 文 为 
“XZIIAUCR”， 求 其 明文 。 
8.2 ”对 希 尔 密码 的 攻击 


对 希 尔 密码 进行 选择 明文 攻击 并 不 困难 。 如 果 已 知 分 组 长 度 为 Y, 则 加 密 N 个 字符 串 ( 每 
一 个 字符 串 长 度 为 W ): 





(1,0,0,...,0,0) 
00,1,0,...,0,0) 
(0,0,1,...,0,0) 


(0,0,0,...,1,0) 
(0,0,0,...,0,1) 
《 重 写 为 “ 列 向 量 ”) 将 生成 密 铀 天 的 行 。 实 际 上 ， 它 们 是 WXN 单位 短 阵 1 的 各 个 列 组 成 
的 。 如 果 不 知 道 块 的 大 小 ， 则 可 以 使 用 除了 一 个 “1” 以 外 ， 其 他 均 为 “0” 的 更 长 的 字符 串 
来 推断 块 的 大 小 。 
已 知 明文 攻击 更 加 复杂 一 些 。 如 果 已 知 块 长 度 为 W, 且 给 定 NN 个 长 度 均 为 N 的 字符 串 为 
xx ， 且 已 知 加 密 算法 为 : 
y = Ex(x') 
目的 就 是 寻找 密 钥 KC(NXN 和 矩阵 )。 将 每 一 个 x* 和 y!' 重 新 写成 列 向 量 。 于 是 , 根据 和 矩 阵 乘 法 ， 
我 们 可 以 得 到 : 
yi=K.x 
设 X 为 NXN 和 矩阵 且 其 列 向 量 为 x ， 且 设 了 为 NXN 矩阵 且 其 列 向 量 为 yi ， 则 根据 矩阵 
乘法 ， 我 们 可 以 得 到 : 
了 = 天 .大 
现在 ， 如 果 只 有 基 具有 乘法 逆 短 阵 奔 ， 我 们 可 以 简单 地 用 碟 开 来 右 乘 以 该 矩阵 得 到 : 
了 .于 -= 天 .下 .天 = 天 
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这 样 就 可 以 得 到 密 钥 KK 。 然 而 ， 了 XY 不 会 有 乘法 逆 和 矩阵 的 概率 至 少 大 约 为 0.75。 结 果 就 
是 关系 式 了 = KX 不 能 惟一 确定 天 。 

一 种 情况 是 天 的 几 种 可 能 必须 通过 其 他 的 方法 单独 得 到 。 

另 一 种 情况 是 我 们 希望 得 到 不 仅仅 入 个 己 知 的 明文 字符 串 x*， 其 对 应 的 密 文 y' 也 是 已 
知 的 。 在 这 种 情况 下 ， 存 在 更 复杂 的 代数 学 方法 可 以 运用 。 

值得 注意 的 一 点 是 选择 明文 或 者 已 知 明文 攻击 相对 来 说 容易 一 些 (甚至 需要 更 多 的 数学 
知识 )， 因 为 加 密 和 解密 是 一 种 矩阵 乘法 运算 。 这 意味 着 对 于 两 个 块 x 和 交 《〈 重 写 为 列 向 量 ): 

Ex(x+x")= Ek(x)+ Ex(x') 
对 于 具有 合适 大 小 的 矩阵 4,B 和 C ， 我 们 可 以 得 到 分 配 率 : 
A(B+C)= AB+ AC 
且 对 于 csZ/26， 
Exk(cx) = cEr(x) 

也 就 是 说 ， 此 密码 具有 线性 特征 。 这 就 是 攻击 的 原理 所 在 。 

对 和 希 尔 密 码 的 唯 密 文 攻击 更 加 困难 。 只 有 在 我 们 得 到 明 密 对 照 , 也 就 是 可 能 字 (probable 
word) 时 ， 才 能 进行 该 攻击 。 这 就 意味 着 ， 我 们 能 确信 某 个 特殊 的 字符 会 在 明文 中 出 现 ， 尽 
管 我 们 不 知道 此 字符 在 明文 的 什么 地 方 出 现 。 实 际 上 ， 假 设 攻 击 者 知道 明文 的 一 些 片断 是 很 
合理 的 ， 因 此 认为 这 是 一 个 可 能 字 攻 击 而 不 是 一 个 纯粹 的 唯 密 文 攻击 也 是 完全 合理 的 。 我 们 
将 举 一 个 例子 ， 为 了 简单 起 见 ， 设 分 块 的 大 小 为 2。 

假设 使 用 分 块 大 小 为 2 的 希 尔 密码 算法 已 , 加 密 的 密 文 消息 为 : 

QAIXP XDAFG 1P7OJS 
并 且 猜 想 明 文 包含 的 可 能 字 为 “butter”( 例 如 在 “butter and guns” 中 )。 我 们 将 对 整个 消息 
进行 解密 ， 尽 管 整 个 密 钥 空间 具有 : 
(137 -103? -13)(22 -1D(22 —2)=157 248 
个 可 能 的 密 钥 (元 素 属于 2Z/26 的 2X2 和 矩阵 为 可 逆 和 矩阵 )， 一 个 可 能 字 攻 击 将 密 钥 空间 减少 
到 只 需要 寻找 与 消息 中 字符 的 数目 相等 的 一 个 集合 。 

备注 ”得 到 密 钥 空间 中 的 密 钥 个 数 ， 是 一 些 比较 普遍 的 情况 中 的 一 个 特例 。 说 明 什么 是 
正确 的 不 是 很 困难 的 事情 , 但 是 要 解释 为 什么 却 是 一 件 困难 的 事 。 无 论 如 何 ， 元 素 属 于 乙 / p* 
且 具 有 模 靖 逆 矩阵 的 2x2 和 矩阵 的 数目 为 〈p 为 素数 ): 

pC(p -Dp’—p) 
而 元 素 属于 Z/p 且 具 有 模 疡 逆 和 矩阵 的 关 X nn 矩阵 的 数目 为 (pp 为 素数 ): 
(p" -Dp" -pp -Pp Np" -p)(p" -pp" Np" -p"™) 
因此 ， 这 里 存在 一 些 通用 的 模式 ， 但 要 给 出 解释 还 有 些 困难 。 


这 里 ， 密 钥 为 2X2 和 阵 4| 外 且 对 明文 的 每 个 两 字符 块 (xi,x) 的 加 密 为 : 


b 
Btn) 外 | 
2 


例如 ， 假 设 分 块 的 分 解 中 具有 “bu” 和 “tt” 连 在 一 起 进行 加 密 。( 如 果 碰 巧 “butter” 在 
消息 的 偶数 个 字符 之 后 出 现 ， 则 存在 此 情况 .) 假设 对 这 两 个 分 块 的 加 密 为 : 
Ei (b,1) = (y1,y2) 
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Er (t,t) = (3 74) 
其 中 ，y, 为 密 文字 符 。 这 就 意味 着 有 : 
a 6b (19) 1 入 
jo 


ob) 
C6 9- 0, wl 


通过 求生 阵 的 间 短 阵 ， 我 人 就 可 以 解 得 人 外 


C 
人 nm 19 
[ 小 人 中 
这 里 的 运算 需要 模 26， 因 此 通过 计算 可 以 得 到 密 钥 : 
a b » yy 19Y 
[ 小 >] 19] : 
当然 ， 为 了 尝试 进行 解密 ， 我 们 实际 上 所 需要 的 是 密 钥 的 道 矩 阵 。 因 为 矩阵 比较 小 ， 所 
以 可 以 利用 下 面 公 式 来 求 逆 和 矩阵 ; 


或 者 


d -b 

-1 一 一 ”一 一 

a 01 _|det det 
“cad 2 2 
det det 


因此 我 们 希望 : 


af Ys » 
20 19My, ys 
类 似 地 ， 如 果 “butter” 在 消息 的 奇数 个 字符 之 后 出 现 ， 则 对 两 字符 分 块 “ut” 和 “te” 
将 被 分 为 一 组 进行 加 密 。 因 此 ， 如 果 我 们 知道 ; 


Ex (a,t) = (71, 2), Ei(t,e) = (3, 74) 
es ]-” 同 
1 e yy 4 
| 
y» ya)\t ee y» ysh\19 4 


密 钥 的 逆 和 矩阵 则 为 〈 为 了 进一步 的 解密 所 需要 ): 
-| | y3 ] 
19 4 Ay, »4 
例如 ,假设 明文 为 “butter??3…”。 也 就 是 说 ， 假 设 “ butter ”恰好 是 明文 的 开始 。 为 了 
进行 加 密 ， 将 明文 分 成 大 小 为 2 的 分 块 : 


则 


则 
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bu tt er ?22 32…- 


然后 转换 为 模 26 的 数字 ， 江 和 以 舌 。 5] 。 如果 这 就 是 明文 那么 我 们 可 以 得 到 


b I 
so 加 so 四 


《 密 文 字符 就 以 “QAIX ”开始 ) 或 者 : 


因此 有 
-0 
A Xu f 
并 且 通 过 求 道 
fe Ye 了 
u thA xX 
ff 19Y16 gy 
\20 19 人 0 23 
因为 知 隆 1 的 行列 式 值 可 以 被 2 整除 ， 所 以 它 不 是 模 26 可 逆 的 ， 因 此 它 不 可 能 是 一 个 
密 钥 。 


如 果 明 文 为 “?butter…”， 那 么 可 以 按照 下 面 的 分 块 方 式 进行 加 密 ， 
?but te r? ?9... 


因此 ， 密 文 的 第 二 块 和 第 三 块 将 是 “ut ”和 “te ”: 


mn=k (= ) mo=t | (4] 
f X e .4 


(因为 密 文 为 “QAIXPX…”) 或 者 : 


则 
人 -|7 pfu 
(xX xX)lt e 
fu Nr PY (20 fs 15Y" _(11 14 
tell KX) (19 4/(23 23) (9 9 


但 是 如 果 我 们 使 用 这 个 矩阵 作为 假定 的 〈 求 逆 和 矩阵) 密 铀 进行 解密 ， 我 们 将 得 到 ; 


uoutt ehbjv avuwn j 


求 逆 可 得 : 


这 似乎 看 来 没有 什么 意义 。 
如 果 明 文 为 “??butter...”， 则 可 以 按照 分 块 “39 bu tter ?3.,. ”进行 加 密 。 
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因此 密 文 的 第 二 块 和 第 三 块 将 是 “bu ”和 “tt”: 


E |- 人 Ee=k |=? 
(4,1) = “ 7 一 了 i(t,e) = f 一 
《因为 密 文 为 “QAIXPX.…”) 或 者 
[ 1 | Pp | 
大. 一 
nu X XX 
[1 "| 人 
大 二 
X XN\u ft 
人 PT DT 5T -fo 
XU 19)(23 23) (11 14 


则 


求 逆 可 得 : 


但 是 如 果 我 们 使 用 这 个 矩阵 作为 假设 〈 求 逆 符 阵 ) 的 密 钥 进行 解密 ， 我 们 将 得 到 ， 


eubut tehaj dauus n 
这 看 来 也 没有 什么 意义 。 
如 果 明 文 为 “???butter.., ”， 则 可 以 按照 分 块 ???b ut te r? ?3?.… 进 行 加 密 。 
因此 密 文 的 第 三 块 和 第 四 块 为 “ut” 和 “te”; 


se 人 mea=k -4 
t xX 已 A 


(因为 密 文 为 “QAIXPXDA.…”) 或 者 : 
-x 
k: 一 
tf e X A 
人 中 ] 
XX ANt e 
wf YP DY _f20 19Ys 3Y _f1s 25 
lr elx 4) U 4 人 人 23 0) ‘10 9 


如 果 我 们 使 用 这 个 矩阵 作为 假设 〈 求 逆 和 矩阵 ) 的 密 钥 进行 解密 ， 我 们 将 得 到 : 
getbu ttera ndgun s 


则 


求 逆 可 得 : 


这 个 解密 即 是 意义 的 结果 。 
习题 


8.2.01 假设 希 尔 密 码 的 分 组 长 度 为 2， 使 用 已 知 明文 攻击 和 相应 的 加 密 算 法 : 


Ex (“guns”) = “YGIC” 
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密 钥 玉 的 可 能 有 哪些 ? 

8.2.02 考虑 希 尔 密码 ， 分 组 长 度 已 知 为 2， 我 们 把 它 当 作对 双 字 母 的 一 个 代替 密码 ， 那 
么 通过 对 双 字 母 〈 而 不 是 类 似 于 对 维 吉 尼 亚 密码 那样 的 单字 符 ) 频率 统计 ， 对 这 种 密码 实施 
攻击 的 可 能 有 哪些 ? 


在 本 书 的 后 面部 分 ， 我 们 不 想 使 用 过 多 的 复杂 度 理论 ， 但 是 从 长 远 的 观点 看 ， 还 是 值得 
把 复杂 度 的 概念 做 一 简单 介绍 。 大 多 数 时 候 ， 我 们 实际 上 只 是 简单 地 区 分 了 “快速 ”和 “ 馒 
速 ” 算 法 。 从 本 章 中 给 出 的 精确 含义 看 来 ， 这 在 大 多 数 情 况 下 意味 着 从 多 项 式 时 间 算 法 中 区 
分 非 多 项 式 时 间 算 法 。 在 某 些 情况 下 ， 考 虑 “ 慢 速 ” 算 法 时 ， 出 于 某 些 其 他 目的 还 可 以 细 分 
为 “ 慢 速 ”、“ 较 慢 速 ”和 “很 慢 速 ”， 但 是 其 细节 同样 对 我 们 来 说 没有 意义 。 


9.1 大 OO 和 小 〇 符号 


对 于 很 多 目标 ， 我 们 不 需要 准确 知道 一 个 数 到 底 有 多 大 ， 或 者 一 个 过 程 到 底 有 多 长 。 我 
们 只 需要 知道 足够 和 其 他 的 对 象 或 者 程序 相 比较 即 可 。 而 且 ， 我 们 不 关心 立即 比较 ， 而 是 长 
期 (渐进 ) 比较。 这 里 介绍 一 些 非常 基本 的 概念 。 
如 果 了 和 g 是 关于 整数 或 者 实数 的 函数 ， 且 存在 常数 C 和 值 zx ， 使 得 对 于 所 有 zz， 
| fC . g(x) 





则 我 们 记 作 : 
f(x) = O(g(x)) 或 者 简单 记 为 1 =O(g) 
即 f(x) 最 终 以 g(x) 的 某 个 常 倍数 为 界 。 这 个 符号 既 不 是 说 g(x) 的 某 个 常 倍数 比 f(x) 要 大 ， 
也 不 是 说 输入 值 x 必 须要 多 大 才 使 得 这 个 式 子 成 立 。 
如 果 有 : 


则 记 作 : 
f(x) =olg(x)) 或 者 简单 记 为 /=olg) 
如 果 f=0O(g) 或 者 g =O(7)， 则 记 作 : 
f~g 

有 时 也 记 做 f= @(g) ， 但 是 后 一 个 符号 不 如 了 ~ 8 和 “大 O/ 小 0” 符号 标准 ， 因 此 在 使 用 时 

下 面 给 出 几 个 很 容易 验证 但 是 对 于 使 用 “大 O/ 小 0O” 符 号 很 方便 的 规则 : 

命题 

。 如 果 f=O() 且 g=0(h),， 则 f+g=0(h); 

e 如 果 f=0O(h) 且 g=O(k)， 则 让 =0O(hk); 

。 如 果 f=0O(g) 且 g=0O(h)， 则 f=0(h); 

证 明 我 们 在 此 只 证 明 第 一 个 命题 。 假 设 /=0O( 有 ) 且 g=0O(h)。 设 Cl 和 C, 为 正 的 常数 ， 
且 为 和 >x; 为 正 的 实数 ， 则 有 : 

| f(x)|< CC .A(x) X>A 
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地 





1g(Cz)I< C2 :h(x) xX> xX) 
令吉 为 和 x, 的 较 大 者 ， 且 令 C = C+C,， 则 对 于 x>xo。， 我 们 可 以 得 到 :; 
| f+gO) Ef + le CH)+C :hx)= CM(7) 

这 就 证 明了 第 一 个 结论 。 汪 

许多 微 积分 学 中 的 例子 都 使 用 了 这 一 概念 。 其 中 的 一 些 例 子 比 较 基 本 ， 但 是 即使 在 最 坏 
情况 下 ， 还 是 可 以 使 用 LHospital 法 则 来 验证 它们 。 

e。 5S= OU) ， 且 对 于 任意 常数 ec 同样 的 结论 成 立 ，c = O( 

ex=o(x)， 因为 lim x/x =0 


1/x=o(l)， 因 为 lim 1/x=0 
天 下 十 9 


e Xx? +3x+7=0O(x*)， 因 为 每 一 个 被 加 数 都 是 O(x?) 
e 6c =O(x*)， 因 为 |6x? 和 <6.|x?| 

e sinx=0O() 

e 对 于 任意 6>0， 有 : Inx=o(x’) 

e 对 于 任意 指数 n， 当 x >+w% 时 ， 有 : x” =o(e”) 


习题 


9.1.01 证 明 : 4xz +3x?+5x+17=O(x’)。 

9.1.02 证 明 : 对 于 任意 整数 m>0 ， 当 x*-> +o 时 ， 妈 =Oer) 。 
9.1.03 证 明 : 1+2+3+4+…+(2 一 TD)+mz=O(02) 。 

9.1.04 证 明 : 12+22+32+42+…+( 一 + 有 =O0o) 。 


9.2 ”位 操作 


描述 一 个 计算 要 花 多 长 时 间 ， 一 个 较 好 。 且 较 准 确 的 方法 就 是 给 出 该 计算 进行 了 多 少 次 
位 操作 。 这 种 佑 算 忽 略 了 花 在 读 和 写 过 程 上 的 时 间 ， 例 如 存储 器 访问 和 寄存 器 之 间 的 转移 ， 
但 是 这 些 时 间 似 乎 不 会 严重 影响 估算 结果 。 一 个 重要 的 优点 是 这 些 佑 算 忽 略 了 机 器 的 特殊 
性 。 而且， 甚至 在 企图 对 这 些 算 法 进行 并 行 计算 时 还 可 以 再 次 利用 这 种 估算 。 

在 本 节 中 ， 我 们 关注 的 重点 是 ， 对 于 一 些 基 本 算术 运算 〈 例 如 加 法 和 整数 乘法 ) 的 复杂 
度 ， 如 何 找到 一 种 很 好 的 近似 。 

“行为 ”的 最 小 单元 将 被 比较 模糊 地 定义 为 位 操作 。 通 常 ， 一 个 位 (“二进制 数字 ”) 是 
信息 的 最 小 单元 ， 且 只 能 为 0 或 者 1。 一 个 位 操作 有 两 个 输入 ， 每 一 个 输入 要 么 为 0， 要 么 
为 1。 有 两 种 输出 ， 每 一 个 输出 要 么 为 0， 要 么 为 1。 我 们 不 关心 这 些 0 和 1 存储 在 什么 地 
方 ， 或 者 它们 是 如 何 移 动 的 。 

在 这 个 简单 的 模型 中 , 为 了 按照 0 和 1 来 描述 算术 自动 , 最 好 是 将 整数 写作 二 进 制 形式 ， 
尽管 我 们 并 不 打算 实际 上 以 二 进 制 形式 进行 任何 计算 。 尤 其 没有 必要 过 多 考虑 整数 的 十 进 制 
表示 与 二 进 制 表 示 之 间 的 转化 算法 。 这 一 转换 算法 在 任何 实际 的 算法 中 很 少 起 到 主要 作用 。 
但 是 ， 对 这 个 变换 进行 一 些 思考 是 值得 的 ,这 样 我 们 就 应 该 仔细 考虑 关于 表示 整数 的 符号 体 
系 。 

通常 的 十 进 制 表示 将 整数 表示 为 10 的 方 究 的 倍数 (从 0 到 9) 的 和 ， 例 如 : 


1375 =137510 =1-107 +3.102+7.10'+5.10° 
如 果 为 了 明确 ,或 者 是 为 了 强调 ， 通 常 需要 写 出 下 标 。 同 一 个 数 〈 十 进 制 1375) 的 二 进 制 表 
示 为 : 
10101011111=10101011111 =20+28+26+24+237+22+2 +2° 
使 用 2 的 寡 而 不 是 10 的 需 ， 且 系数 也 在 相应 的 范围 内 ， 这 里 为 0 或 者 1。 因 为 这 是 最 小 
的 范围 ， 所 以 如 果 愿 意 ， 我 们 可 以 完全 省 略 系数 ， 而 且 可 以 省 略 系数 为 0 的 2 的 方 蹇 。 现 在 
对 于 使 用 其 他 的 非 2 或 者 非 10 的 “ 基 ” 进 行 类 似 的 计算 已 经 很 清楚 了 。 八 进 制 和 十 六 进 制 
的 应 用 也 已 经 比较 普遍 ， 我 们 的 计算 机 系统 中 的 时 间 对 于 分 和 秒 都 是 60 进 制 ， 这 是 主要 受 
到 古代 巴比伦 人 的 影响 (以 及 其 他 !)。 
如 何 获 得 一 个 整数 的 基 为 b 的 展开 式 ， 这 个 算法 也 很 简单 。 首 先 ， 我 们 给 出 一 些 术语 : 
给 定 一 个 整数 n 和 一 个 正 整 数 4 ，n/4 的 整数 部 分 为 小 于 或 者 等 于 z/d 的 最 大 整数 。 给 定 一 
个 正 整数 n， 以 45 为 基 可 以 将 nn 表示 为 : 
n=aot+arbta .b+a b+ 
(每 一 个 “数字 ”a, 均 在 范围 0<a, < 内)， 执 行 下 列 步 又 ; 
ao =n%b 且 用 /5 的 整数 部 分 来 替换 n 
ai = n%b 且 用 n1b 的 整数 部 分 来 替换 n 
qs = n%b 且 用 n1b 的 整数 部 分 来 替换 n 


继续 执行 直到 nn/b 的 整数 部 分 变 为 0 为止。 

备注 “在 前 面 的 过 程 中 ， 用 一 个 新 值 “ 替 换 ”7 的 方法 非常 方便 。 与 之 对 比 ， 如 果 我 们 
坚持 对 n 的 每 一 个 “新 ” 值 进行 命名 ， 那 么 除了 多 出 几 个 名 称 之 外 ， 没 有 任何 用 处 。 

加 法 和 乘法 在 二 进 制 中 的 通用 规则 与 十 进 制 中 是 很 类 似 的 , 只 不 过 在 二 进 制 中 “单数 字 ” 
规则 在 数量 上 很 少 且 很 容易 记忆 : 

0+0=0，1+0=0+1=1 1+1=10 

0.0=0，1.0=0.1=0，1.1=1 

多 位 二 进 制 整数 的 加 法 计算 与 对 十 进 制 整 数 的 计算 一 样 ， 数 字 方 式 是 从 右 到 左 ， 适当 的 
时 候 进 位 。 同 样 ， 二 进 制 中 的 多 数字 乘法 的 通用 方法 也 和 十 进 制 中 一 样 。 

两 个 单数 位 二 进 制 整数 的 加 法 操作 是 位 操作 的 一 个 例子 : 第 一 个 输出 位 是 两 个 输入 位 的 
和 ， 另 一 个 输出 位 则 是 两 个 输入 位 的 和 的 进位 。 同 样 ， 两 个 单数 字 二 进 制 整数 的 来 法 操作 也 
是 一 个 位 操作 : 在 此 情况 下 , 我 们 只 使 用 其 中 一 个 输出 位 , 它 是 两 个 输入 位 的 乘积 结果 。( 在 
二 进 制 中 单数 字 乘 法 的 计算 不 存在 任何 进位 。) 

如 果 在 二 进 制 中 需要 用 个 数字 来 表示 一 个 整数 x ， 则 我 们 就 说 它 是 一 个 n 位 整数 。 也 
就 是 说 ，n 位 整数 x 就 是 那些 在 2” -1 和 x< 221 之 间 的 数 。 因 为 logl 2 = 0.30103 =3/110 ， 所 
以 二 进 制 数字 的 个 数 是 十 进 制 数字 的 个 数 的 10/3 倍 。 

命题 

。 比较 两 个 ”位 整数 〈 决 定 哪 一 个 更 大 ， 或 者 它们 是 否 相 等 ) 需要 执行 O(n) 次 位 操作 。 

。 两 个 位 整数 的 加 法 需要 执行 O(n) 次 位 操作 。 

e 一 个 m 位 和 一 个 nn 位 整数 的 乘法 需要 执行 Olmn) 次 位 操作 。 

。 对 4 位 整数 进行 模 一 个 m 位 的 整数 的 带 余 除 法 需要 执行 O(mn) 次 位 操作 ， 其 中 mm <n 。 
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备注 ”根据 简单 的 小 学 算术 即 可 以 证 明 ! 

具有 小 于 或 者 等 于 nn 位 的 数字 的 个 数 最 多 有 2” 个 。 因 此， 如 果 我 们 不 是 根据 二 进 制 数 字 
的 个 数 来 描述 数字 ， 而 是 根据 它们 的 大 小 ， 则 我 们 可 以 将 上 述 命题 改写 为 : 

命题 

e@ 比较 两 个 小 于 的 整数 的 大 小 需要 执行 O(log; n) 次 位 操作 。 

e 两 个 小 于 n 的 整数 的 加 法 需要 执行 O(log n) 次 位 操作 。 

。 两 个 小 于 的 整数 的 乘法 需要 执行 Oldlog 站 次 位 操作 。 

e 对 一 个 小 于 nn 的 整数 进行 模 一 个 小 于 m 的 整数 的 带 余 除法 需要 执行 O(log, mlog2 站 次 

位 操作 ， 其 中 mm 志 n。 

logio 2 :log, n= logion 

且 1ogion 是 n 的 十 进 制 数 的 位 数 。 因 此 如 果 一 些 计算 对 于 输入 整数 n， 需 要 执行 O(log 门 次 
位 操作 ， 则 它 需要 执行 dogio 2) x O(logio 四 = O(logio 门 次 位 操作 。 这 里 的 部 分 观点 就 是 ， 
在 这 种 估算 中 不 用 考虑 使 用 哪 一 种 算法 。 因 为 从 基 2 转化 为 基 10 (或 者 基 为 e) 不 会 改变 大 
O 的 估算 结果 。 

备注 特别 对 于 大 整数 ， 存 在 几 种 乘法 的 算法 ， 其 运算 速度 比 在 小 学 里 学 到 的 算法 要 快 
得 多 。 但 是 ， 只 有 所 选 整数 比 小 学 孩子 们 所 能 使 用 的 数字 大 得 多 时 ， 才 会 产生 实际 的 加 速效 
果 。 

备注 对 于 人 们 的 使 用 而 言 , 使 用 二 进 制 形式 表示 显得 非常 不 经 济 : 乘法 和 加 法 表 很 小 ， 
但 是 必须 执行 非常 多 的 操作 〔〈 训 无 疑问 简单 得 多 );， 一 个 2 位 数 的 十 进 制 数 将 有 超过 3z 个 的 
二 进 制 数字 ， 因 此 一 个 二 进 制 乘法 〈 使 用 最 佳 算 法 ) 将 包含 9 倍 于 十 进 制 乘法 的 操作 ， 虽 然 
每 一 个 单独 的 操作 都 比较 简单 。 另 外 存储 空间 问题 也 不 可 低估 。 

尽管 人 们 执行 这 些 基 本 算法 在 文字 上 的 最 优化 似乎 并 不 重要 ， 但 是 在 计算 问题 上 ， 时 
间 / 存 储 空间 的 平衡 是 很 重要 的 。 通 常 我 们 容易 为 时 间 问 题 担心 ， 而 不 是 空间 问题 ， 但 实际 
上 后 者 也 应 考虑 。 


习题 


9.2.01 估算 对 前 2 个 整数 进行 累加 《〈 最 优 估计 ) 所 必须 的 位 操作 数量 。 

9.2.02 估算 对 前 2 个 整数 进行 累加 并 模 101 约 简 (最 优 估计 》 所 必须 的 位 操作 数量 。 

9.2.03 估算 对 100 ! 进 行 因 式 分 解 〈 最 优 估计 ) 所 必须 的 位 操作 数量 。 

9.2.04 估算 计算 100 ! mod103《〈 最 优 估计 ) 所 必须 的 位 操作 数量 。 

9.2.05 估算 计算 2” (重复 计 算 2” = 22.2 ) 所 必须 的 位 操作 数量 。 

9.2.06 估算 计算 21%%117 (重复 计算 2 = 2 .2 ) 所 必须 的 位 操作 数量 。 

9.2.07 估算 对 一 个 具有 m 位 和 一 个 具有 位 的 数 进行 欧 几 里 得 运算 所 必须 的 位 操作 数 
量 。 

9.2.08 估算 对 一 个 4 位 的 数字 进行 直接 的 素性 测试 所 必须 的 位 操作 数量 。 


9.3 ”概率 算法 
对 很 多 人 来 说 ， 一 个 算法 中 存在 随机 元 素 的 情况 会 令 他 们 感到 惊异 。 对 于 一 些 更 加 重要 
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的 问题 来 说 ， 使 用 概率 算法 比 使 用 确定 算法 要 好 ， 这 使 得 人 们 更 加 惊异 。 这 里 有 一 些 术语 : 

蒙特 卡 罗 算 法 总 是 给 出 答案 在 多 项 式 时 间 以 内 )， 但 是 其 中 的 结论 是 以 一 定 的 概率 而 
成 立 的 。 更 确切 地 说 ,“yes” 回 答 从 有 在 -一定 概率 下 是 正确 的 ， 但 是 “no” 回答 始终 是 正确 
的 ， 则 称 之 为 有 偏 “〈 与 之 相反 我 们 可 以 得 到 无 偏 蒙特 卡 罗 算 法 )。 因 此 ， 一 个 真正 的 蒙特 卡 
罗 算 法 要 么 是 有 偏 的 ， 要 么 是 无 偏 的 ， 因 此 “半数 ”的 回答 是 确定 的 。 

拉 斯 维 加 斯 算法 只 运行 企 期 望 的 多 项 式 时 间 内 ， 因 此 可 能 不 会 给 出 任何 答案 ， 但 是 如 果 
它 针 对 一 个 特定 输入 给 出 一 个 回答 ， 则 该 答案 一 定 是 正确 的 。 

一 个 不 太 标 准 的 用 法 是 ， 一 个 大 西洋 城 算法 至 少 在 3/4 时 间 内 给 出 正确 答案 ， 且 运行 于 
多 项 式 时 间 内 。( 数 字 3/4 可 以 被 任意 一 个 大 于 12 的 概率 代替 。) 

大 西洋 城 算 法 是 蒙特 卡 罗 算 法 的 双边 形式 。 


9.4 复杂 度 


一 个 算法 的 复杂 度 最 简单 的 度量 是 ， 它 作为 输入 值 大 小 的 一 个 函数 要 运行 多 长 时 间 。 因 
为 我 们 主要 关注 在 大 输入 情况 下 会 发 生 什么 情况 ， 我 们 将 使 用 大 DO/ 小 O 概念 ， 从 而 不 用 担 
心 微小 的 细节 部 分 。 

对 于 某 个 实数 x ， 且 输入 的 长 度 为 xn， 如 果 一 个 算法 在 O(n”) 时 间 内 结束 ， 则 称 其 在 多 
项 式 时 间 内 完成 。 这 种 算法 通常 被 认为 是 好 的 。 注 意 在 此 时 间 估 算 中 指定 的 常数 必须 与 n 独 
立 。 这 意味 着 即使 在 最 差 的 情况 下 〔 例 如 在 狂 独 的 或 者 脏 脏 的 输入 下 )， 估 算 也 必须 成 立 。 
通常 完全 有 可 能 使 用 更 少 的 时 间 ， 但 是 必须 考虑 最 差 的 情况 。 

如 果 一 个 问题 具有 一 个 在 多 项 式 时 间 内 运行 就 可 以 解决 的 算法 ， 则 称 该 问题 属于 类 PP。 

如 果 对 一 个 问题 答案 做 出 猜测 ， 其 正确 性 可 以 在 多 项 式 时 间 内 证 明 或 者 排除 ， 则 该 问题 
属于 类 NP。 这 个 类 必定 包含 类 P。 

人 们 普遍 认为 类 忆 严 格 小 于 类 NP， 但 这 是 复杂 度 理论 中 的 最 主要 的 一 个 公开 问题 。 在 
已 类 中 的 问题 被 认为 是 简单 的 ， 属 于 NP 但 不 属于 记 的 问题 称 为 困难 问题 。 具 有 讽刺 意义 的 
是 ， 因 为 我 们 还 不 能 证 明 类 忆 严 格 小 于 类 NP， 所 以 到 现在 我 们 都 还 不 能 证 明 ， 存 在 这 个 意 
义 上 的 任何 困难 问题 。 

当然 ， 在 任何 情况 下 当 我 们 使 用 渐进 的 大 DO/ 小 O 符号 时 ， 我 们 都 忽略 了 常数 。 因 此 如 
果 对 于 输入 长 度 为 n 的 情况 ， 最 差 的 运行 时 间 小 十 或 者 等 于 :; 

101000 x np? 
则 我 们 就 有 了 多 项 式 运 行 时 间 ， 但 是 前 面 的 常数 很 大 ， 以 至 于 该 操作 永远 不 能 结束 。 这 种 可 
能 性 在 这 里 实际 上 没有 考虑 ! 

如 果 有 一 个 多 项 式 时 间 算 法 能 够 根据 对 问题 B (有 相关 的 输入 ) 的 回答 得 出 问题 4 (对 
于 给 定 的 输入 ) 的 回答 ， 则 我 们 说 问题 4 可 简化 为 问题 (在 多 项 式 时 间 内 )。 据 此 ， 一 个 
对 问题 B 的 未 知 或 者 不 确定 的 处 理 称 为 问题 B 的 oracle。 根 据 直觉 ， 我 们 知道 4 问题 不 会 比 
8 问题 复杂 。 令 人 惊奇 的 是 ， 已 经 证 明 存 在 问题 C 属 于 NP， 使 得 属于 NP 的 所 有 问题 都 可 
以 在 多 项 式 时 间 内 简化 为 C 。 这些 问题 称 为 NP 困难 问题 或 者 NP 完全 问题 。( 与 我 们 使 用 的 
不 同 ， 更 加 精确 的 区 分 可 以 使 得 这 两 个 概念 代表 不 同 的 事物 。) 

其 他 类 型 的 问题 是 那些 可 使 用 随机 化 在 多 项 式 时 间 内 回答 的 问题 ,类 zPP 包 括 那些 使 用 
拉 斯 维 加 斯 算法 在 多 项 式 运行 时 间 内 是 可 回答 的 问题 。 类 RP 包括 那些 使 用 蒙特 卡 罗 算 法 在 
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多 项 式 和 运行 时 间 内 是 可 回答 的 问题 。 那 些 使 用 大 西洋 城 算 法 且 在 多 项 式 运行 时 间 内 是 可 回答 
的 问题 包含 在 类 BPP 中 。 符 号 已 和 NP 是 完全 标准 的 用 法 ， 而 ZzPP、RP 和 BPP 都 不 能 
是 标准 的 用 法 。 

如 果 一 个 算法 不 能 《最 差 情 况 下 ) 在 多 项 式 时 间 内 运行 完毕 ， 则 〈 缺 省 状况 ) 我 们 称 之 
为 运行 在 指数 时 间 内 。 注 意 这 也 是 根据 输入 的 大 小 来 度量 的 。 

因此 ， 例 如 回顾 在 使 用 直接 的 试 除法 来 证 明 数 N 的 素性 时 ， 只 需要 使 用 VN 步 就 可 以 证 
明 N 是 素数 〈 如 果 它 是 素数 的 话 )。 的 大 小 作为 输入 ， 即 n=log, NN， 且 有 : 

VN = 1082N /2 _ F112 

这 比 4 的 任何 多 项 式 都 要 快 得 多 。 与 此 对 比 ， 甚 至 对 整数 的 加 法 和 乘法 常用 的 直接 算法 
也 运行 于 多 项 式 时 间 内 。 我 们 追 切 希望 得 到 运行 时 间 的 估算 方法 ， 独 立 于 算法 运行 的 机 器 种 
类 ， 以 及 编写 程序 的 语言 。 当 然 ， 这 必须 意味 着 只 要 具备 与 合理 期 望 一 样 的 独立 性 ， 因 为 在 
执行 大 多 数 算 法 时 ， 一 个 运行 速度 较 快 的 机 器 比 一 个 运行 速度 较 慢 的 机 器 要 快 。 使 得 这 个 假 
设 更 加 精确 的 一 个 方法 是 要 求 使 用 “足够 好 的 ”计算 机 《〈 非 并 行 机 )。 

假设 ”算法 的 运行 时 间 仅仅 取决 于 其 必需 的 位 操作 的 数量 以 及 机 器 的 速度 ， 用 公式 表示 
如 下 : 
位 操作 数量 
机 器 速度 

备注 ”该 假设 的 大 概 意思 是 机 器 可 能 更 快 或 者 更 慢 ， 但 是 不 断 提 高 机 器 的 执行 速度 并 不 
是 一 种 明智 的 做 法 ，E. Post、Kurt G6del、Alan Turing 和 Alonzo Church 的 工作 表明 ， 如 果 我 
们 只 考虑 并 非 根 本 原因 的 机 器 以 及 运算 序列 中 指令 的 执行 ， 那 么 这 个 假设 就 是 正确 的 。 另 一 
方面 ， 在 无 穷 多 个 并 行 计算 机 上 的 做 无 穷 多 个 并 行 算法 ， 例 如 量子 计算 机 如果 存在 的 话 )， 
就 不 属于 这 种 类 型 ， 因 此 会 做 得 “更 好 ”。 

备注 关于 是 否 存 在 比 仅 考 上 处 速度 更 好 的 方法 ， 这 个 问题 很 有 意思 。 算 法 质量 也 起 到 很 
大 作用 : 与 一 台 慢 速 计 算 机 运行 一 个 好 的 算法 相 比较 ， 一 台 快 速 机 器 运行 一 个 慢 速算 法 可 能 
会 更 差 。 机 器 的 功能 表现 出 通常 对 于 人 来 说 是 “聪明 的 ”特征 ， 这 是 很 好 笑 的 事情 。 
9.5 子 指 数 算法 

通常 只 有 一 个 算法 是 多 项 式 时 间 算 法 时 ， 它 才 被 认为 是 一 个 好 的 算法 ， 也 就 是 说 ， 它 的 
运行 时 间 是 输入 的 大 小 的 多 项 式 。 但 是 ， 根 据 这 一 点 来 说 ， 将 整数 分 解 为 素数 的 乘积 、 计 算 
离散 对 数 和 以 及 其 他 一 些 重要 的 计算 的 最 好 的 算法 都 不 是 多 项 式 时 间 的 ， 而 且 不 会 比 指数 时 
间 快 多 少 。 为 了 实用 的 占 的 ， 这 可 能 产生 决定 性 的 区 别 。 我 们 可 以 对 那些 比 多 项 式 时 间 慢 但 
比 指数 时 间 快 的 算法 速度 之 间 的 差异 进行 量化 。 

算法 类 LIL(a,b) 是 这 样 一 类 算法 ， 它 对 于 输入 大 小 n 的 运行 时 间 为 : 

0( elbtol)n’ On nie ) 

其 中 ，820，0< 和 as<l 。 这 里 的 o() 代表 一 些 函 数 ， 当 n>w 时 ， 该 函数 趋 近 于 0 。 


对 于 所 有 0 <a <1，0 <4 的 空间 ， 并 集 。 HHL(4.5) 为 子 指数 算法 的 集合 。 


<a<l,0<b 


运行 时 间 二 


考虑 一 个 极端 情况 ， 对 于 任何 5b 之 0 ，L(0,5) 是 运行 时 间 为 O(m*) 的 多 项 式 时 间 算法 的 集 
合 。 另 一 个 极端 情况 是 ， 每 一 个 集合 L(1,5) 包含 运行 时 间 为 O(e”) 的 指数 时 间 算 法 。 
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目前 已 知 的 因 式 分 解 的 最 好 算法 和 在 Z/p* 中 计算 离散 对 数 的 最 好 算法 都 被 推测 属于 
2G .923) 类 。 


分 解 因 式 见 [Coppersmith1993]，Z/ p* 离散 对 数 的 计算 见 [Adleman1994]。 注 意 这 些 运 行 
时 间 估 算 只 是 一 种 推测 ， 因 为 它们 依赖 于 关于 一 些 特殊 类 型 整数 分 布 的 似是而非 但 是 未 经 证 
明 的 假设 。 而 且 ， 比 较 特 殊 的 是 这 两 个 运行 时 间 的 估算 是 相同 的 。 特 别 需 要 注意 的 是 ， 这 个 
离散 对 数 运行 时 间 的 估算 只 有 在 最 简单 的 有 限 域 Z/p 中 才 成 立 。 对 于 一 般 的 有 限 域 , 最 好 的 


估算 似乎 为 L1G). 而 且 ， 对 于 更 多 的 抽象 离散 对 数 问题 ， 例 如 在 权 圆 曲线 上 ， 不 知道 是 否 
存在 这 样 低 的 运行 时 间 。 
9.6 柯 尔 莫 哥 洛 夫 复杂 度 


最 近 ，Solomonoff、Chaitin 和 Kolmogorov 〈 柯 尔 莫 哥 洛 夫 )〈 独 立地 ) 提出 了 一 套 复杂 
度 理论 ， 强 调 程序 长 度 〔〈 针 对 字符 数 ) 而 不 是 程序 运行 时 间 。 这 个 观点 也 针对 随机 数 和 更 广 
义 的 概率 提出 了 一 个 不 同 的 观点 。 根 据 这 个 观点 ， 他 们 对 信息 论 以 及 关于 压缩 的 问题 也 进行 
了 益 述 。 

这 种 思想 即 为 ， 对 一 个 比较 特殊 的 字符 串 ， 可 用 比 将 其 全 部 列举 出 来 更 加 简单 的 方法 来 
描述 ， 例 如 : 

1010101010101010101010101010101010101010101010101010 
可 以 描述 为 “26 个 重复 的 10?。 但 是 ， 下 面 的 字符 串 由 于 没有 明显 更 加 简单 的 描述 方法 ， 
此 还 是 采用 列举 的 方法 : 
1011101110100000101000001101101001111111011000000110 

从 概率 论 的 观点 来 看 ， 有 时 我 们 假设 每 〈 例 如 ) 56 个 0 和 1 组 成 的 字符 串 都 是 等 可 能 随 
机 选择 的 。 对 于 上 述 两 个 字符 串 ， 第 二 个 似乎 是 “随机 ”的 ， 而 且 如 果 我 们 被 告知 它 确实 是 
随机 选择 的 ， 我 们 也 绝对 不 会 怀疑 。 但是， 上述 第 一 个 字符 串 “ 太 结 构 化 ” 因此 我 们 将 怀 
疑 它 “ 可 能 曾经 是 ”随机 选择 的 。 传 统 的 目标 是 ， 对 于 25 个 0 和 1 组 成 的 字符 串 中 ， 假 设 
证 明 这 个 字符 串 不 是 随机 选择 的 ， 那 么 字符 串 由 26 个 “10” 组 成 〈 即 为 2 ) 的 概率 是 非 
常 小 的 。 但 是 ， 根 据 这 个 观点 ， 第 二 个 字符 囊 也 是 同样 不 太 可 能 ， 但 是 我 们 并 不 反对 它 ! 

我 们 可 以 将 关于 “长 度 为 n 的 随机 字符 串 ” 的 概念 修改 为 包括 这 样 一 种 思想 ， 即 对 一 个 
真正 随机 对 象 的 描述 不 应 该 比 其 本 身 更 简单 (或 短 )。 这 就 使 得 我 们 拒绝 这 个 有 26 个 “10” 
组 成 的 字符 串 更 加 合法 ， 因 为 它 的 描述 太 短 ， 而 接受 另 一 个 字符 串 为 “随机 的 ” 因为 无 法 
用 一 个 比较 简单 的 描述 来 表达 。 

柯 尔 莫 哥 洛 夫 复 杂 度 的 第 一 个 非 正式 定义 为 : 完全 描述 对 象 所 需要 的 最 短 长 度 . 这 里 “对 
象 本 身 ” 可 以 当 作 是 它 本 身 的 一 个 描述 。 当 然 ， 对 对 象 的 见长 描述 是 没有 任何 意义 的 。 通 常 
的 问题 为 是 否 存 在 一 种 比 其 本 身 更 短 的 重要 描述 。 

可 以 证 明 (使 事物 更 加 精确 之 后 !): 给 定 长 度 为 n 的 “大 多 数 ” 字 符 串 的 描述 , 不 会 比 n 
更 短 ， 因 此 ， 对 它们 的 最 短 的 描述 往往 是 将 其 列举 出 来 。 

当然 , 对 这 个 问题 严格 处 理 的 一 个 必要 准备 就 是 证 明 程序 长 度 仅 以 一 种 肤浅 的 方式 依赖 
于 特定 的 机 器 和 编程 语言 。 
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在 使 用 这 个 观点 时 ， 为 了 说 明 需 要 十分 小 心 《 以 及 精确 的 形式 化 );， 我 们 按 如 下 方式 定 

义 一 个 下 整数 n: 
n 二 不 能 用 少 于 60 个 字符 来 描述 的 第 一 个 整数 

矛盾 的 是 ， 我 们 明显 只 需要 少 于 60 个 字符 来 描述 它 。 解 决 矛盾 的 方法 之 一 是 声明 每 一 个 整 
数 都 只 用 少 于 60 个 字符 来 表示 。 但 这 是 一 个 站 不 住 脚 的 声明 : 因为 只 有 有 限 多 个 字符 串 的 
字符 数量 少 于 60〔 使 用 由 字母 a 到 z， 数 字 0 到 9， 空格 符 和 标点 符号 组 成 的 有 限 集合 )。 实 
际 的 缺点 可 能 在 于 “描述 ”一 词 的 意义 必须 更 加 准确 。 

一 个 更 加 完整 的 关于 这 个 主题 的 论述 可 以 参考 M. Li 和 PM.B. Vitanyi 的 论文 : 
Introduction to Kolmogorov Complexity and its Application, Springer, 1997(second edition), ISBN 
0387948686， 


9.7 ”线性 复杂 度 


一 个 由 0 和 1 组 成 的 有 限 序列 的 柯 尔 莫 哥 洛 夫 复杂 度 的 判定 通常 不 可 能 在 多 项 式 时 间 内 
解决 。 一 个 可 能 的 解释 是 ， 求 解 对 象 的 柯 尔 莫 哥 洛 夫 复杂 度 是 一 个 太 令 人 激动 以 及 太 普 通 的 
问题 。 从 另 一 个 极端 来 看 ， 不 是 通过 任意 过 程 生 成 由 0 和 1 组 成 的 《有 限 但 很 长 的 ) 序列 ， 
人 们 可 能 要 求 通过 线性 反馈 移 位 寄存 器 (LFSRs〉 生 成 由 0 和 1 组 成 的 序列 。 我 们 将 在 后 面 
详细 讨论 这 些 问 题 ， 但 是 为 了 目前 的 是 的， 我 们 在 这 里 可 以 足够 详细 地 描述 这 些 事情 。 

一 个 长 度 为 NN 的 LFSR 为 一 个 由 0 和 1 组 成 的 序列 :c= (co,…,cw_j)。 我 们 还 需要 一 个 
初始 状态 3 = 《360,51, 32,53;5w_1) , 则 我 们 进行 递归 定义 ， 对 于 z+12>N ， 有 : 

3 = COS + CIS 1 + C028, 2 十 … 十 CN_13 3902 
这 个 机 制 比 在 柯 尔 莫 哥 洛 夫 复 杂 度 中 所 允许 的 完全 任意 的 过 程 要 简单 得 多 。 

一 个 有 限 序列 x=(xo,x1,…,%) 的 线性 复杂 度 为 是 使 得 对 于 选 定 的 初始 状态 
s= (so,sls,s538sw1)， 生 成 序列 x 所 需要 的 线性 反馈 移 位 寄存 器 的 最 小 长 度 为 W 。 也 就 是 说 ， 
与 其 要 求 根据 任何 种 类 来 对 序列 进行 最 小 描述 ， 还 不 如 严格 定义 产生 机 制 的 类 别 ， 例 如 
LFSRs。 因 此 ， 一 个 序列 的 线性 复杂 度 完全 有 可 能 很 高 ， 尽 管 从 柯 尔 莫 哥 洛 夫 复 杂 度 的 观点 
来 看 可 能 很 低 。 一 个 序列 的 线性 复杂 度 很 低 ， 则 其 柯 尔 莫 哥 洛 夫 复杂 度 也 一 定 很 低 。 

与 柯 尔 葛 哥 洛 夫 复杂 度 显著 不 同 ， 有 限 序列 的 线性 复杂 度 的 判定 有 一 种 相对 简单 的 算 
法 。 也 就 是 ， 判 定 生成 该 序列 所 需要 的 最 小 LFSRs。 根 据 Massey 和 Berlekamp 的 工作 ， 在 
仅仅 抽取 序列 中 2 WN 个 连续 的 项 之 后 ， 这 个 算法 将 决定 长 度 为 N 的 LFSR 的 系数 。 

后 面 我 们 将 看 到 , 长度 为 NN 的 LFSRs 在 重复 自己 之 前 可 以 生成 长 度 为 2” -1 的 序列 ,此 
特点 《错误 地 ) 使 得 人 们 将 其 用 于 密码 学 目的 。 关 键 在 于 ，Massey 和 Berlekamp 算法 表明 ， 
尽管 在 重复 之 前 需要 很 长 时 间 ， 但 是 对 于 密码 学 的 用 途 来 说 ， 其 线性 复杂 度 还 是 太 低 。 

9.8 ”最 差 情况 与 期 望 值 

在 讨论 算法 的 运行 时 间 时 ， 必 须 记 住 的 一 个 特性 是 在 最 差 情况 与 期 望 运行 时 间 之 间 的 对 
比 。 但 这 与 密码 的 构造 有 关 , 因为 加 密 和 解密 都 不 能 太 困难 。 这 个 区 别 与 密码 分 析 学 有 关 ( 可 
能 是 敌对 的 )， 因 为 不 管 在 什么 情况 下 ， 人 们 手中 掌握 的 东西 不 可 能 是 “平均 ” 值 ， 也 不 可 
# 是 最 差 情 况 。 

进 -- 步 说 , 就 算 可 以 证 明 一 个 密码 的 平均 安全 性 , 也 不 能 防止 其 某 一 个 特例 被 成 功 攻 破 。 
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这 一 点 对 于 非 对 称 〈 公 钥 ) 密码 算法 和 对 称 密码 算法 都 是 正确 的 。 例 如 ， 存 在 弱 密 钥 问 题 ; 
即使 是 一 个 相当 好 的 密码 ， 其 使 用 中 也 要 避免 选择 一 些 特殊 的 密 钥 ， 这 种 情况 很 普遍 ， 因 为 
如 果 使 用 这 些 密 铀 ， 就 会 大 大 降低 该 密码 算法 的 强度 。 

当 更 多 地 谈 及 传统 的 复杂 度 理论 时 也 必须 记 住 这 个 区 别 ， 因 为 只 对 最 差 情况 进行 处 理 是 
一 个 标准 。 因 此 , 在 考虑 很 多 定理 或 者 传统 复杂 度 理论 的 其 他 结论 对 于 密码 问题 的 适用 性 时 ， 
往往 会 给 出 一 个 不 恰当 的 印象 。 








本 章 介绍 了 公开 密 钥 密码 ( 非 对称 ) 算法 。 本 书 的 其 余部 分 将 对 其 进行 详细 介绍 和 解释 ， 
研究 方法 是 对 这 种 密码 进行 的 攻击 。 

另 术语“ 非 对 称 ” 揭 示 了 这 种 密码 算法 的 一 些 特点 。 首 先 ， 相 比较 而 言 ， 所 有 的 传统 
密码 以 及 特定 的 现代 密码 算法 (例如 DES 和 AES) 都 是 一 种 对 称 算 法 ， 即 解密 密 钥 相当 于 
“通常 完全 等 于 ) 加 密 的 密 钥 。 与 此 相反 ， 加 密 和 解密 的 密 钥 在 非 对 称 密码 算法 中 是 不 相同 
的 《通过 可 行 的 计算 )。 也 就 是 说 ， 如 果 加 密 和 解密 密 钥 其 中 之 一 保密 ， 而 另 一 个 公开 ， 允 
许多 个 不 同 的 人 进行 加 密 ， 但 是 只 有 一 个 人 能 够 进行 解密 。 了 解 公开 密 钥 密码 算法 的 非 对 称 
性 对 于 理解 一 些 新 出 现 的 问题 是 一 个 关键 。 

Diffie-Hellman 密 钥 交换 、RSA 密码 、ElGamal 密码 以 及 knapsack 密码 都 是 著名 的 、 标 
准 的 和 相对 基本 的 密码 。Adi Shamir 对 knapsack 密码 的 攻击 ， 以 及 随后 对 这 种 攻击 的 防御 ， 
在 这 里 进行 解释 都 较为 复杂 ， 而 且 远离 我 们 讨论 的 主题 。 我 们 介绍 了 一 个 新 的 且 相 当 有 发 展 
前 途 的 密码 ， 即 NTRU 密码 ， 其 机 制 相对 不 是 那么 初等 ， 而 且 其 安全 性 依赖 于 更 加 成 熟 的 东 
西 。 关 于 NTRU 密码 的 有 关 章 节 相 对 前 面 内 容 来 说 比较 复杂 ,但 还 是 基于 我 们 已 经 介绍 过 的 
内 容 ， 或 者 后 续 章节 将 要 介绍 的 内 容 。 最 新 也 是 最 复杂 的 讨论 ， 即 关于 算术 密码 以 及 针对 它 
进行 Hughes-Tannenbaum 攻击 的 内 容 , 对 于 初次 阅读 这 部 分 内 容 的 读者 来 说 ， 可 以 完全 跳 过 。 

大 约 1975 年 之 前 ， 惟 一 存在 的 一 类 密码 就 是 对 称 密 钥 密码 ， 意 味 着 知道 了 加 密 密 钥 就 
很 容易 得 到 解密 密 钥 ， 相 反 亦 然 。 这 种 密码 通常 也 称 为 秘密 密 钥 密码 ， 因 为 所 有 的 密 钥 都 必 
须 保 密 。 

与 此 相反 ， 公 开 密 钥 〈 非 对 称 ) 密码 体制 的 加 密 密 钥 与 解密 密 钥 没 有 本 质 的 关系 。 考 察 
所 有 的 古典 密码 ， 确 实 不 能 给 出 任何 公 钥 密码 是 可 能 存在 的 暗示 。 

最 初 在 Ralph Merkle 进行 了 大 量 (未 被 欣赏 的 ) 工作 之 后 ， 公 钥 密 码 的 大 致 思想 首先 在 
[Diffie, Hellman 1976] 中 公开 被 提出 来 。( 实 际 上 英国 秘密 服务 机 构 的 一 些 人 在 20 世纪 60 年 
代 中 期 就 提出 了 类 似 的 思想 ， 这 个 秘密 直到 20 世纪 90 年 代 末期 才 被 披露 出 来 .一 个 基于 
knapsack 问题 的 公 钥 系统 在 [Merkle，Hellman 1978] 中 被 提出 。 后 一 个 系统 已 经 被 “攻破 ”， 
尽管 它 现 在 得 到 了 “修正 ”， 但 是 在 knapsack 问题 上 失掉 的 信心 似乎 很 难 改变 。 最 流行 的 一 
个 公 钥 密码 系统 是 RSA， 以 三 个 作者 的 名 字 命 名 [Rivest，Shamir，Adieman 1978]。RSA 的 安 
全 性 基于 整数 素 因 子 分 解 的 困难 。EIGamal 系统 [ElGamal 1985] 是 一 个 出 现 相对 人 迟 一 些 的 密 
码 ， 首 次 出 现 于 1985 年 。 

公 钥 密码 系统 在 应 用 上 的 可 能 在 以 前 是 不 可 想像 的 ， 我 们 将 在 后 面 讲 到 这 些 协议 。 

使 用 公 钥 密码 的 一 个 简单 的 例子 是 在 通信 网络 中 。 有 个 人 互相 之 间 使 用 非 对 称 密码 
(例如 RSA) 进行 通信 需要 NN 个 三 元 组 (e,a,n): 每 一 个 人 公布 他 自己 的 公 铀 。 因 此 ， 为 了 
与 其 他 人 安全 地 通信 ， 每 一 个 人 都 只 需要 使 用 相应 的 公 钥 进行 加 密 即 可 。 也 就 是 说 ， 整 个 通 
信和 网 对 于 每 一 个 人 来 说 只 需要 一 批 信息 (e,d,n)。 与 之 相反 , 一 个 对 称 密码 算法 将 在 每 两 个 人 
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之 闻 需 要 一 个 密 负 对， 对 于 NN 个 人 来 说 总 共 需 要 N(N -1)/2 个 密 钥 对 。 因 此 ， 在 维持 通信 网 
络 时 使 用 非 对 称 算法 可 以 极 大 地 降低 密 钥 的 数量 。 对 于 包括 N 个 人 的 通信 网 络 ， 使 用 对 称 密 
码 需 要 N(N -1)/2 个 密 钥 对 ， 其 中 每 一 对 人 之 间 都 有 一 个 加 密 / 解 密 密 钥 对 是 不 好 的 。 首 先 ， 
网 络 中 的 每 一 个 人 都 必须 记 住 (N -1D 个 密 钥 ; 其 次 ， 总 共有 NGCN -1)/2 个 密 钥 对 需要 生成 和 
分 发 。 

因为 非 对 称 密码 的 加 密 和 解密 算法 要 比 对 称 密码 的 加 密 和 解密 算法 慢 得 多 ， 在 实际 应 用 
中 非 对 称 密码 算法 通常 被 用 来 安全 地 交换 对 称 密码 的 会 话 密 钥 ， 而 这 个 对 称 密码 被 实际 用 来 
加 密 通 信 。 也 就 是 说 ， 被 非 对 称 密码 加 密 的 惟一 的 明文 就 是 对 称 加 密 密 码 的 密 钥 ， 因 此 具有 
更 快运 行 速 度 的 对 称 加 密 密 码 被 用 来 对 实际 的 信息 进行 加 密 。 

使 用 会 话 密 铀 的 技巧 目前 在 密码 系统 的 使 用 中 十 分 通用 。 也 就 是 说 ， 公 铀 密码 系统 被 用 
来 为 (更 快速 的 ) 私 铀 密码 系统 建立 共享 密 钥 〈 会 话 密 钥 )， 这 样 将 产生 大 量 的 通信 量 。 消 
息 被 发 出 以 后 ， 会 话 密 钥 就 被 废弃 不 用 了 。 因 此 ， 对 秘密 信息 进行 加 密 时 ， 公 钥 密 码 的 优点 
可 以 实现 ， 同 时 也 可 以 受益 于 对 称 密码 运行 速度 快 的 特点 。 进 一 步 ， 在 应 用 中 对 于 新 的 “外 
来 ”协议 ， 没 有 任何 其 他 方法 可 替代 公 钥 密码 。 


10.1 陷 门 


每 一 个 非 对 称 ( 公 开 密 钥 ) 密码 算法 都 依赖 于 实际 某 种 处 理 过 程 的 不 可 逆 性 ， 通 常 这 指 
的 是 陷 门 。 目 前 ， 所 有 理论 上 认为 安全 的 非 对 称 密码 都 使 用 数论 ， 尽 管 在 原理 上 还 有 很 多 其 
他 的 可 能 性 。 

RSA 密码 利用 的 原理 是 , 计算 两 个 大 的 素数 p 和 g (可 能 必 10” 或 者 更 大 ) 的 乘积 n= pg 
不 难 ， 但 是 将 一 个 大 的 整数 n x 10'% 分 解 为 其 素 因 数 的 乘积 几乎 不 可 能 。 

ElGamal 密码 利用 的 原理 是 ， 对 于 模 一 个 大 的 数 m 进行 求 宕 不 难 ， 但 是 计算 离散 对 数 非 
常 困 难 。 给 定 x,e,p 《pp 为 素数 )， 所 有 数 都 大 约 为 =1040 ， 计 算 y= z2%Pp 并 不 是 很 难 。 但 
是 从 另 一 个 方向 ， 给 定 y,x,p 计算 指数 e。(y 是 以 x 为 基 模 p 的 离散 对 数 ) 似乎 很 困难 。 

注意 在 最 后 两 段 中 的 限制 我们 说 这 个 任务 似乎 是 很 困难 的 。 到 目前 还 没有 人 证 明 将 整 
数 分 解 为 素数 的 计算 在 本 质 上 是 非常 困难 的 。 从 另 一 个 方面 来 说 ， 存 在 大 量 的 实际 证 据 表明 
这 是 一 个 困难 问题 ， 人 们 思考 这 个 问题 已 经 有 几 百 年 了 ， 由 于 与 密码 有 关 ， 因 此 这 个 问题 最 
近 越 来 越 受 到 关注 。 离 散 对 数 问 题 也 是 一 样 的 情况 。 

最 早 的 公 钥 密码 为 Hellman-Merkle， 具 有 相反 的 问题 ， 基于 一 个 可 能 的 困难 问题 ， 即 所 
谓 的 knapsack 问题 ， 对 其 进行 了 必要 的 修改 ， 使 得 解码 有 可 能 很 大 程度 上 改变 此 问题 ， 从 而 
使 得 此 问题 不 再 是 一 个 难题 ! 

在 1978 年 ，McEliece 提出 了 一 种 基于 代数 编码 理论 的 密码 。 这 种 使 用 Goppa 编码 的 算 
法 似乎 是 一 种 一 般 线 性 编码 。 对 于 有 线性 编码 的 解码 被 证 明 是 可 能 困难 〈“ 完 全 NP”) 的 问 
题 ， 而 Goppa 编码 的 解码 问题 是 很 “容易 ”的 。 这 种 密码 算法 似乎 还 没有 被 攻破 ， 但 是 没有 
RSA 和 EIGamal 那么 流行 。 将 一 个 更 加 简单 的 问题 “隐藏 ”到 一 个 完全 NP 问题 中 去 的 思想 
与 Heliman-Merkle 中 的 技巧 类 似 ， 这 种 方法 曾经 使 一 些 人 紧张 且 对 McEliece 密码 产生 了 怀 
疑 。 

因此 ， 最 后 尽管 这 些 问题 没有 被 证 明 是 困难 问题 ， 因 式 分 解 和 求解 离散 对 数 问 题 的 明显 
实际 的 困难 性 〈 在 每 一 次 详细 审查 之 后 ) 使 得 RSA 和 ElGamal 至 今 仍然 是 最 流行 的 公 钼 密 
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码 。 最 近 发 表 的 椭圆 曲线 密码 是 离散 对 数 密码 的 一 种 抽象 变化 。 对 其 进行 详细 的 描述 需要 大 
量 的 深入 准备 工作 。 


10.2 RSA 密码 


RSA 密码 的 思想 取决 于 [Rivest,Shamir,Adleman 1978]。 其 关键 之 处 在 于 将 大 数 分 解 成 为 
素数 乘积 是 很 困难 的 。 可 能 很 令 人 奇怪 ， 仅 仅 对 大 整数 测试 其 素性 而 不 找 出 其 因子 要 简单 得 
多 。 

这 里 的 困难 任务 就 是 将 大 的 整数 分 解 成 为 素数 因子 的 乘积 。 基本 任务 相对 简单 一 些 , 即 : 

e 对 于 n>10'% 目 大 的 指数 e， 求 军 ，x:%n 模 n; 

e 找到 许多 大 的 素数 p >10” 。 

我 们 可 以 看 到 ， 这 些 任 务 的 明显 困难 性 是 RSA 密码 算法 安全 性 的 基础 。 

将 大 的 整数 分 解 成 为 素数 因数 的 乘积 很 困难 ， 这 在 直觉 上 是 很 明显 的 ， 尽 管 还 没有 证 明 
本 身 的 困难 程度 。 比 较 而 言 ， 我 们 可 以 对 大 整数 的 素性 进行 测试 而 不 需 找 到 它们 的 因子 。 关 
于 有 效 地 评估 大 整数 x 的 大 指数 x* 模 大 整数 n 约 简 是 更 基本 的 事情 。 记 住 ， 当 计算 速度 提高 
的 时 候 , 相应 地 所 选择 的 整数 n>10!% 和 p>10” 也 应 相应 增加 ,即使 算法 上 并 没有 任何 的 改 
进 。 

加 密 和 解密 的 描述 : 有 两 个 密 钥 e 和 4 , 非 秘密 的 附加 信息 由 一 个 大 的 整数 = 组 成 (z 的 
特性 ，e 和 4 之 间 以 及 与 的 关系 将 在 下 面 描述 )。 明 文 x 首 先 被 编码 为 正 整 数 ， 我 们 仍然 称 
之 为 x， 因 为 现在 的 原因 ， 我 们 要 求 x<n 。 因 此 加 密 步 骤 为 : 

E, oe(X) = Xx" Yn 
其 中 z%n 表示 Zz 模 n 的 余数 。 这 里 就 生成 了 密 文 y=x*%n ， 它 也 是 一 个 正 整 数 ， 范 围 为 
0<y<n。 解 密 步 又 很 简单 ， 为 : 

Da(y) = y" 96 

例子 为 了 简单 起 见 ， 我 们 人 为 地 使 用 较 小 的 数 。Alice 选择 两 个 素数 p=71，g =59， 
则 n=4189，, 其 中 p 和 gq 都 为 模 4 同 余 3 的 。Alice 决定 使 用 e = 3 作为 公 钥 。 她 将 n=4189 和 
e=3 公开 ,并 对 p 和 gg 保密。 为 了 得 到 解密 指数 ， 她 需要 找到 e=3 模 (p 一 1)(g 一 1) 的 乘法 首 
元 ， 于 是 她 可 以 通过 使 用 欧 几 里 得 算法 得 到 ， 

d =e !mod4189 =2707 
(或 者 在 数 比 较 小 的 情况 下 强行 计算 得 出 )。 当 Bob 希望 给 Alice 发 送 一 条 秘密 消息 的 时 候 ， 
例如 ，x=1234 ， 他 计算 密 文 ; 
y=x*%n=1234%4060 =229mod4189 
他 将 该 数 发 送 给 Alice。 当 Alice 接收 到 这 个 消息 后 ， 通 过 下 面 计算 进行 解密 : 
x = J4 = 2292707%04189 = 1234 
因此 ， 她 可 以 得 到 明文 。 

当然 ， 在 解密 步骤 中 ， 两 个 密 钥 e 和 4 对 于 所 有 x 至少 满足 范围 0<x<n )〉 必须 具备 

以 下 特性 : 
(x°)* =xmodn 
欧 拉 定理 (下 面 将 要 讨论 ) 声称 通常 如 果 gcd(x,n)=1， 则 有 : 


x?7 =1modn 
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其 中 gln) 是 对 n 求 欧 拉 函 数 得 到 的 值 ，g(m) 定义 为 在 0<i<n 内 满足 gcd(1,n)=1 的 整数 1 的 
数目 。 因 此 ，e 和 4 之 间 的 关系 是 以 g(n) 为 模 的 乘法 互 逆 关系 ， 即 
d:e=1mod oy(n) 

对 于 形 为 n= pg 的 整数 nn， 其 中 pq ， 这 个 函数 的 值 有 一 个 简单 的 表示 方法 (我 们 在 后 面 
会 了 解 ); 

9(p:9)=(p~-1)(g -1) 
这 解释 了 上 述 表达 式 (P-bDe-D 出 现 的 原因 。 在 这 种 情况 下 , 我 们 可 以 验证 加 解密 确实 是 工 
作 在 条 件 gcd(x,n)=1 下 的 : 





Da (Bie) = (x° Hn)’ Hn = (x°) hn 


因为 到 现在 我 们 知道 ， 只 要 我 们 希望 得 到 ， 无 论 什 么 时 候 都 可 以 做 模 n 的 约 简 ， 在 算术 计算 
上 ， 最 终 得 到 的 结果 也 是 模 约 简 的 。 根 据 指数 的 特性 ， 


(x*) %n = x Yn 


因为 ed =1mod p(n)， 存 在 一 个 整数 1 满足 : 
ed =1+i19(n) 
于 是 根据 网 拉 定 理 ， 有 : 


x = Xe = x (x EX =xmodn 


注意 我 们 必须 假设 明文 x 与 n 互 素 。 因为 n 是 两 个 大 素数 p 和 4g 的 乘积 , 与 n 互 素 即 意味 

着 不 能 被 p 或 gq 整除 。 在 范围 0<<x<<n 内 的 一 个 “随机 ”整数 x 可 以 被 p 和 9g 整除 的 概率 为 : 
lil_l 
PP gag pa 

这 是 一 个 非常 小 的 数 ， 因 此 我 们 忽略 这 个 概率 。 

加 密 的 指数 e。 (和 解密 的 指数 4 ) 必定 与 9g(n)=(p 一 1)(q 一 D 互 素 ， 因此 它 就 一 定 具 有 一 
个 模 p(2) 的 乘法 逆 元 ， 这 个 道 元 即 为 解密 指数 a 。 

通常 所 见 到 的 应 用 RSA 密码 体制 的 一 个 事件 链 如 下 所 述 : Alice 选 择 两 个 大 的 素数 p 和 4g 

(其 中 pzxg)，p 和 gq 都 是 模 4 同 余 3 的 ， 并 计算 n= pg 。 素 数 p 和 g 必须 保密 。 她 又 选择 
一 个 加 密 和 解密 指数 e 和 4 满足 ed=1modg(n) 。 她 在 她 的 Web 网 页 上 公布 加 密 指 数 e 以 及 
模 数 nn， 她 的 解密 指数 qd 也 保密 .如 果 任 何人 想 要 给 她 发 送 只 有 Alice 才能 阅读 的 加 密 电子 
邮件 ， 就 可 以 对 明文 x 进行 加 密 : 
Ens(x) = x %n 
Alice 是 惟一 一 个 知道 解密 指数 4 的 人 ,因此 她 是 惟一 一 个 可 以 还 原 出 明文 的 和 信 , 还 原 步 又 如 
下 : 
x=D,a(E,.,(x)) 

因为 在 这 种 情况 下 ， 她 可 以 使 得 加 密 密 钥 公开 ， 通 常 加 密 密 钥 e 被 称 为 公 钥 ， 解 密 密 钥 4 被 
称 为 私 钥 。 

备注 ”具有 形式 n= pq 的 整数 n 被 称 为 Blum 整数 ， 其 中 p 和 g 是 不 同 的 素数 ， 且 都 是 
模 4 同 余 3，n 有 时 也 被 称 为 RSA 模 数 。 
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备注 ”很 明显 ，Alice 必须 能 够 计算 整数 模 4189 的 比较 大 的 方 守 〈 她 对 于 加 密 指 数 3 的 
选择 意味 着 加 密 者 无 须 担 心 这 个 问题 )。 我 们 将 在 后 面 看 到 ， 有 一 个 很 好 的 算法 来 执行 这 个 

RSA 的 安全 性 的 基本 方面 .RSA 的 安全 性 或 多 或 少 依赖 于 将 整数 分 解 为 素 因子 乘积 的 难 
度 ， 而 这 似乎 确实 是 一 个 十 分 困难 的 问题 。 但 是 ， 更 加 精确 地 说 ，RSA 的 安全 性 依赖 于 一 些 
更 加 特殊 的 问题 ， 即 对 特殊 形式 的 数 n= p.g (pp 和 g 都 是 素数 ) 进行 因 式 分 解 的 难度 。 可 
以 想像 得 到 ， 可 以 通过 不 适用 于 一 般 问题 的 特殊 方法 来 解决 一 些 更 加 特殊 的 问题 。 但 是 到 现 
在 ， 问 题 的 特殊 性 似乎 并 没有 产生 任何 特别 好 的 特殊 因 式 分 解 攻击 。 

因 式 分 解 的 难度 使 得 RSA 是 安全 的 ， 原 因 在 于 对 于 两 个 大 素数 p 和 gq (该 两 素数 保密 ) 
的 乘积 n ， 在 只 知道 的 情况 下 计算 gp(n) 似乎 很 难 。 当 然 ， 一 旦 知道 素数 分 解 n= p:q ， 则 
通过 下 面 的 标准 公式 很 容易 计算 得 到 p(n) : 

p(n)=9(p.9)=(p-1):(g-D) 

如 果 攻 击 者 知道 g(n) , 则 根据 欧 几 里 得 算法 由 加 密 指数 e 计 算 解密 指数 d 相对 容易 一 些 ， 
因为 解密 指数 刚好 是 e 模 n 的 乘法 首 元 。 

实际 上 ， 我 们 可 以 证 明 ， 对 于 数 n 的 这 种 特殊 形式 ， 知 道 n 和 wg(n) 可 以 得 到 因 式 分 解 
n= p'g 《需要 很 少 的 计算 )。 这 个 技巧 的 依据 是 ，p 和 g 是 如 下 方程 的 根 : 

x (p+q)-:x+p:q=0 

知道 p.qg=n， 因 此 我 们 可 以 用 n 和 p(n) 来 表示 p+q， 我 们 将 得 到 这 个 用 n 和 gp(n) 表示 的 方 
程 的 系数 ， 容 易 分 别 给 出 p 和 9g。 

因为 有 : 





p(n)=(p-1)\(qg-D)=p:9-(p+9D+1=n-(p+9q)+l 
我 们 可 以 重新 整理 得 到 : 
p+g=n—9(n+l 
因此 ，p 和 4g 为 如 下 方程 的 根 
x —(n-9n)+D)xt+n=0 


—(n -p(n)+D)+yn -9(n) +1) - 47 
2 

我 们 必须 注意 到 ， 还 有 其 他 方法 不 需要 分 解 而 得 到 明文 ， 或 者 明文 的 一 部 分 。 

根据 加 密 和 解密 指数 e 和 4 的 知识 似乎 还 不 能 得 到 素数 分 解 n= P.4g 。 因 此 ， 即 使 指数 对 
e 和 4d 受到 威胁 ， 数 n= pq 也 是 不 可 用 的 。 但是， 我 们 在 后 面 将 看 到 ， 私 人 (解密 ) 密 铀 的 
暴露 会 危及 整个 密码 系统 。 特 别 ， 有 一 个 运行 很 快 的 拉 斯 维 加 斯 算法 将 产生 因 式 分 解 
n 二 pp:d oo 

由 模 数 n (两 个 秘密 素数 p 和 g 的 乘积 )、 公 钥 e 和 私 钥 a 构成 的 密码 体制 ， 其 用 户 并 不 
需要 知道 素数 p 和 gq 。 因 此 ， 中 心机 构 〈Central Agency) 就 有 可 能 反复 使 用 同样 的 模 数 
n=p:q。 但 是 ， 正 如 我 们 提醒 的 那样 ， 危 及 一 个 密 钥 对 将 会 威胁 其 他 的 密 钥 对 。 

加 密 /解密 算法 的 计算 速度 。 如 果 排 除 其 他 干扰 , 对 大 整数 的 大 指数 运算 将 花 很 长 的 时 间 。 
在 RSA 中 加 密 和 解密 算法 中 都 需要 进行 这 种 指数 运算 , 因此 从 一 个 幼稚 的 观点 来 看 , 为 什么 
执行 算法 本 身 比 执行 恶意 攻击 更 容易 这 一 点 不 是 太 明 显 。 但 是 ， 实 际 上 对 于 一 些 特定 范围 内 


解 得 两 个 根 p 和 g 为 : 
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的 数 〈 一 百 位 以 上 的 数 ) 来 说 ， 所 需要 的 指数 运算 可 以 设计 得 比 大 整数 的 因 式 分 解 运算 的 速 
度 快 得 多 。 即 使 是 这 样 ， 到 目前 RSA 的 加 密 和 解密 算法 〈 以 及 大 多 数 非 对 称 密码 算法 ) 的 运 
算 速 度 仍 然 比 最 好 的 对 称 加 密 算法 要 慢 得 多 。 
选择 素数 p 和 g 的 位 数 一 般 为 一 百 多 位 。 因此， 尽管 加 密 指数 e 选 择 得 相对 较 小 ， 可 能 
只 有 几 位 的 十 进 制 数 ， 而 e 的 乘法 逆 元 (解密 密 钥 ) 将 和 差不多 大 小 。 因 此 ， 计 算 整数 的 
大 窜 运 算 ， 并 模 大 整数 的 任务 就 必定 在 执行 速度 上 比 对 % 执 行内 式 分 解 的 任务 要 快 。 
下 面 我 们 将 描述 一 个 重要 的 初等 快速 窜 运 算 。 这 个 方法 使 得 窜 指 数 运算 相对 简单 。 这 个 
算法 在 计算 数 的 方 容 或 者 其 他 代数 元 素 中 比较 通用 。 也 就 是 ， 在 计算 x* 时 ,我 们 并 不 是 计算 
所 有 的 xx2 XY, X14, X53, X 1, Xo 
密 钥 生成 和 管理 。 根 据 秘密 素数 p 和 gq 生成 一 个 模 数 n= p.q ， 从 而 决定 一 个 密 钥 对 e 和 和 
d， 其 中 e.d=1mod p(n)， 首 先 要 求 两 个 素数 p 和 g 至 少 满足 例如 >10”。 因 为 RSA 的 安全 
性 取决 于 因 式 分 解 的 困难 性 ， 比 较 幸运 的 是 素性 检测 比 因 式 分 解 为 素数 要 容易 得 多 。 也 就 是 
说 ， 尽 管 通常 我 们 很 难 将 大 的 数 n = p.q >109 分解 为 素数 (即使 使 用 很 好 的 算法 )， 但 是 我 
们 能 够 廉价 得 到 许多 大 的 素数 p.g >10” 。 
在 选择 了 已 和 9 之 后 , 可 以 先 选 择 解密 (私人 ) 密 钥 d 。 因为 只 有 qd 满足 和 (Pp-1Dg-TD 瑟 
素 ， 才 存在 相应 的 加 密 密 铀 e， 而 且 欧 几 里 得 算法 给 出 了 一 个 有 效 的 方法 来 计算 e 。 
得 到 4 满足 和 (p-1Dg-D 互 素 的 方法 之 一 就 是 如 下 所 述 的 猜测 和 验证 法 。 注 意 ， 因 为 
p11 和 gq-1 本 身 很 大 ， 我 们 不 可 能 得 到 它们 的 素 因数 分 解 。 我 们 随机 选择 一 个 大 的 素数 4 ， 
然后 利用 欧 几 里 得 算法 找到 4 和 (pp 一 1)(g -TD 的 最 大 公约 数 。 如 果 这 个 最 大 公约 数 >1， 则 继 
续 寻 找 。 因 为 过 是 一 个 大 的 随机 素数 ,所 以 可 能 第 一 个 猜测 就 已 经 满足 与 (p-D(g -TD 互 素 的 
试探 概率 很 高 。 我 们 将 在 后 面 对 这 一 点 以 及 相关 知识 进行 扩展 论述 。 
更 多 的 技术 备注 还 有 : 
e 有 时 加 密 指数 选择 为 3， 而 素数 p 和 gq 不 是 模 3 余 1 的。 
。 因为 技术 原因 ， 有 些 人 最 近 建 议 将 2“ +1= 65537 (为 素数 ) 作为 加 密 指 数 ， 然 后 选择 
的 p 和 g 模 65537 不 同 余 1 的 。 

。 p11 和 gq 一 1 都 必须 至 少 具 有 一 个 很 大 的 素 因 数 ， 因 为 如 果 p-1 或 gq-1 只 有 一 个 小 的 
素 因 数 ， 则 可 能 存在 对 n= pg 的 因 式 分 解 攻击 (Pollard 的 p-1 攻 击 )。 

e 素数 P 和 9 最 好 不 要 相隔 太 近 ， 因 为 在 这 种 情况 下 存在 对 z 的 因 式 分 解 攻 击 〈 费 马 
等 )。 

e 比率 p/g 最 好 不 要 太 靠 近 一 个 具有 较 小 的 分 子 和 分 母 的 有 理 数 , 因为 这 样 会 使 得 D. H. 
Lehmer 的 对 n= pg 的 连续 片断 因 式 分 解 攻击 可 能 成 功 。 

我 们 将 在 后 面 论 述 各 种 不 同 的 因 式 分 解 攻击 方法 。 

关于 攻击 RSA 的 报导 。 目 前 ， 似 乎 对 RSA 的 攻击 只 能 发 生 在 RSA 没有 得 到 正确 实现 的 
情况 下 ， 例 如 选择 的 模 数 太 小 。 也 就 是 说 ， 当 特定 的 可 避免 的 错误 发 生 时 ， 似 乎 存在 可 利用 
的 脆弱 性 。 当 然 ， 具 有 讽刺 意味 的 是 ， 有 些 情况 下 只 有 在 有 人 找到 并 进行 攻击 之 后 才 发 现 某 
些 选择 是 错误 的 。 

当然 ， 密 钥 的 长 度 〈 也 就 是 RSA 的 模 数 n= pg 的 长 度 ， 其 中 p 和 g 是 秘密 的 素数 ) 
不 能 太 短 ， 否 则 对 n 进行 强 行 分 解 的 攻击 所 需 的 时 间 可 能 会 比 人 们 希望 的 要 短 。 例 如， 在 
1999 年 的 春季 后 期 ，Adi Shamir 设计 了 一 个 特殊 的 计算 机 “Twinkle”， 部 分 是 模拟 的 ， 部 
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分 是 数字 的 , 它 可 以 将 成 熟 的 因 式 分 解 攻击 速度 提高 100 或 1000 倍 。 它 使 得 512 位 的 RSA 
模 数 N〔 大 约 160 位 十 进 制 数 ， 由 两 个 80 位 的 素数 生成 ) 对 于 高 安全 目的 来 说 显得 太 小 
了 。 

而 且 ， 实 际 的 问题 通常 并 不 是 说 密码 具有 完全 的 不 可 破解 性 ， 而 是 需要 多 长 时 间 来 攻破 。 
攻击 速度 提高 1000 倍 即 意味 着 一 个 在 10 年 内 安全 的 密码 算法 现在 只 在 8 小 时 内 是 安全 的 。 
但 是 以 前 在 10 年 内 安全 的 密码 算法 仍然 在 10” 年 内 是 安全 的 。 

让 我 们 简单 回顾 一 下 RSA 算法 的 建立 过 程 ， 秘 密 选择 两 个 大 的 素数 p 和 4g ， 且 都 与 模 4 
同 余 3 的 。RSA 的 模 数 N = p.g 是 公开 的 。 公 开 选 择 一 个 加 密 指数 e， 与 N 互 素 。 通 常 选择 
e=3， 但 是 选择 e=2 “+1= 65537 可 能 更 好 。 根 据 欧 几 里 得 算法 很 容易 计算 得 到 密码 的 解密 
指数 4 = emod(P-D(q9-D。 将 消息 分 解 成 固定 长 度 的 块 x， 它 可 看 作 在 范围 1<x< N 内 的 
整数 。 加 密 步 骤 为 ; 





En.s(x) = x %N 
这 一 步 可 以 由 任何 人 完成 ， 因 为 e 和 NN 是 公开 的 。 解 密 步 又 为 : 
Dw,a(y) = yy %N 
秘密 的 解密 指数 4 被 用 来 执行 这 个 公式 。 (N,e) 为 公开 密 钥 ，(N,4) 为 私有 密 钥 。 
e 攻破 RSA 函数 意味 着 在 没有 提前 给 出 解密 密 钥 4 的 情况 下 要 求 函 数 : x -> x %N 的 反 
函数 。 也 就 是 说 ， 有 人 企图 描述 模 六 的 e 次 根 函 数 。 
e 攻破 RSA 密码 意味 着 以 更 高 的 概率 攻破 RSA 函数 ， 也 即 意味 着 在 没有 提供 解密 指数 
的 情况 下 揭示 明文 或 者 明文 的 一 部 分 。 对 于 密码 算法 的 不 可 破解 性 ， 而 不 是 函数 的 不 
可 破解 性 ， 通 常 被 称 为 语义 上 的 安全 。 
e 当然 ， 如 果 知 道 因 数 分 解 n= p.qg ， 则 可 以 计算 得 到 数 (p 一 1)(g 一 1) ， 从 而 可 以 找到 解 
密 指 数 4 ， 是 描述 e 次 根 函 数 的 一 种 方法 。 
e 目前 似乎 还 不 知道 是 否 能 够 由 模 N 的 e 次 根 得 到 N 的 因 式 分 解 ， 其 中 e 宇 3 。( 相 比 之 
下 ， 如 果 我 们 能 够 得 到 模 w 的 平方 根 ， 则 我 们 就 有 一 个 能 够 对 六 进行 因 式 分 解 的 较 好 
概率 算法 。) 
e 为 了 应 用 欧 几 里 得 算法 来 有 效 地 用 (p 一 1(q -1) 由 加 密 指 数 找到 解密 指数 , 则 必须 知道 
数 (p-D(qg-D .同时 知道 @=(p-D(q -1l) 和 N= pg 使 得 人 们 可 以 通过 解 下 面 的 二 次 
方程 得 到 素数 p,q : 
x -(N-O+Dx+N=0 
因此 分 解 N 〈 采 用 高 效 的 算法 ) 等 价 于 通过 欧 几 里 得 算法 计算 解密 寡 指 数 4 。 
e 因此 对 RSA 的 一 个 最 明显 的 攻击 就 是 企图 分 解 模 数 N 。 
e 根据 1999 年 的 标准 ， 为 了 永久 地 防止 因 式 分 解 攻 击 ，N 应 该 为 一 个 1024 位 的 数 ， 大 
约 是 309 位 的 十 进 制 数 。 这样 p 和 9 应 为 512 位 数 ， 或 者 大 约 为 154 位 的 十 进 制 数 。 
e 如 果 量 子 计 算 机 得 到 实现 ，Peter Shor 在 1993 年 的 工作 表明 ， 存 在 一 种 快速 的 量子 算 
法 对 大 数 进 行 分 解 ， 这 就 会 改变 很 多 事情 ! 
e 另外 ，p 和 gq 应 该 是 强 素数 。 
备注 “ 强 素数 ”的 概念 似乎 因 人 而 异 ， 不 同 的 研究 者 有 不 同 的 说 法 ， 而 且 也 取决 于 应 
用 环境 。 第 一 个 强 素数 p 的 最 简单 的 定义 为 ， 强 素数 p 要 满足 p -1 能 够 被 一 个 “大 ”素数 整 
除 。 据 说 p -1 并 不 是 平滑 的 。 这 个 特性 可 抵抗 Pollard 的 pl 攻击 ( 我 们 将 在 后 面 论述 )。 
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对 强 素数 定义 的 一 个 通常 的 改进 是 进一步 要 求 p+1 也 能 够 被 大 素数 整除 。 也 就 是 说 ，p -1 和 
P+1 都 不 是 平滑 的 。 这 也 就 抵抗 了 Pollard 的 p-1 攻击 的 一 个 变种 攻击 ， 即使 用 p+1 的 小 因 
子 。 对 强 素 数 的 定义 的 进一步 加 强 为 素数 p 使 得 p -1 可 以 被 一 个 “大 ”素数 r 整除 ，p +1 
也 能 够 被 一 个 大 素数 整除 ， 且 x -1 也 能 够 被 一 个 大 素数 整除 。 如 此 循环 下 去 。 
。 到 目前 为 止 , 还 没有 出 现 对 RSA 函数 的 直接 因 式 分 解 攻击 , 假设 素 因 子 足 够 大 而 且 是 
强 素数 。 
。 如 果 出 于 一 般 的 考虑 ， 对 于 非常 大 的 整数 进行 分 解 的 最 好 算法 是 数 域 得 法， 这 种 方法 
对 于 分 解 六 位 整数 的 渐进 运行 时 间 大 约 为 : 


ean 1og2/3 n 


作为 于 的 函数 ， 它 是 一 个 子 指数 的 ， 而 不 是 多 项 式 的 时 间 估 计 。Adi Shamir 最 近 《1999) 

发 明 的 小 工具 “Twinkle” 设 计 为 在 数 域 得 法 中 运行 比 在 以 前 的 通用 计算 机 中 运行 要 快 得 

多 。 尽 管 Shamir 的 设备 能 够 提高 速度 高 达 1000 倍 ， 但 是 它 也 没有 产生 质 的 变化 ， 因 为 

很 容易 通过 使 用 更 大 的 模 数 而 使 问题 仍然 回 到 了 原来 的 分 解 问 题 。 

前 向 搜索 攻击 。 如 果 知 道 所 有 可 能 消息 的 集合 ， 而 且 该 集合 相对 来 说 比较 小 ， 则 攻击 者 
只 需要 将 所 有 的 消息 进行 加 密 直到 找到 一 个 匹配 者 ,例如 , 如 果 已 知 消息 为 “Yes ”或 者 “No”, 
则 只 需要 计算 一 次 加 密 就 知道 哪 一 个 是 明文 。 因 此 ， 特 别 是 在 比较 短小 的 消息 的 情况 下 ， 应 
该 通过 在 前 面 或 者 后 面 添加 随机 位 从 而 对 消息 进行 填充 。 

公共 模 数 攻击 。 注意 授权 的 解密 者 没有 必要 知道 RSA 模 数 的 因 式 分 解 N = p-qg。 这 就 会 
导致 在 几 个 用 户 之 间 为 了 节省 而 试图 使 用 同一 个 模 数 ， 而 仅仅 是 解密 《和 解密 〉 密 钥 不 同 。 
这 是 一 个 错误 。 己 知 N 和 加 密 /解密 对 e 和 4 就 可 以 对 进行 因数 分 解 ， 根据 这 个 方法 就 可 以 
得 到 任何 其 他 的 解密 密 钥 。 因 此 ， 一 个 RSA 模 数 只 能 被 一 个 人 使 用 。 

小 解密 指数 攻击 。 为 了 节约 计算 时 间 ， 有 人 可 能 会 设置 参数 使 得 解密 指数 相对 较 小 〔 当 
然 ， 不 会 小 到 使 系统 易 受 到 人 穷 举 攻击 的 程度 )。 但 是 如 果 d < 了 NI ， 则 存在 有 效 的 算法 能 够 


解 出 这 个 解密 指数 ( 见 [Wiener 1990])! 这 一 论点 使 用 了 连 分 式 的 经 典 数论 理论 以 及 如 何 找到 
用 有 理 数 对 二 次 无 理 数 最 合理 的 逼近 方法 。 也 就 是 说 ， 对 于 1024 位 的 模 数 ， 解 密 指数 应 该 
至 少 为 256 位 ， 这 对 复杂 的 实现 带 来 了 更 复杂 的 问题 。 后 来 ，[D. Boneh, G. Durfee, preprint] 
报告 这 个 结果 可 以 被 “改进 ”到 甚至 对 于 更 大 的 解密 指数 也 可 以 进行 快速 的 破解 。 在 [Boneh 
1999] 中 特别 指出 ， 使 用 小 于 VN 的 解密 模 数 的 系统 可 能 容易 受到 此 类 攻击 。 

小 公开 指数 攻击 。 使 用 加 密 指数 e= 2 +1= 65537 〈 费 马 素数 !1) 可 以 避免 一 些 对 e=3 的 
攻击 ,使 用 e=2* +1= 65537 意味 着 对 于 1024 位 的 RSA 模 数 加 密 要 进行 17 次 此 种 求 寡 运 算 ， 
与 之 对 比 ， 对 于 e=3 只 需要 进行 两 次 求 宕 运算 ， 这 很 烦人 。(17 次 求 守 运算 是 相对 于 “随机 ” 
加 密 指 数 的 大 约 1000 次 求 寡 运算 而 言 的 .) 但是， 存在 一 些 针 对 小 加 密 指 数 的 攻击 。 第 一 个 
就 是 : 

假设 Alice 希望 给 几 个 不 同 的 人 发 送 同 一 个 秘密 消息 。 最 简单 的 方法 就 是 分 别 使 用 这 些 
人 的 公 钥 对 该 消息 进行 加 密 ， 并 发 送出 去 。Eve 对 Alice 使 用 的 非 安全 信道 进行 监听 ， 他 可 
以 收集 所 有 的 加 密 信息 。 假设 消息 对 于 所 有 的 接受 者 来 说 都 在 单个 RSA 块 中 。 如果 消息 的 数 
目 大 于 或 等 于 加 密 指数 e， 则 Eve 可 以 解 出 消息 。 例如， 如 果 e=3 且 消息 小 到 可 以 加 密 为 单 
个 RSA 块 ， 则 只 需要 三 个 不 同 的 加 密 就 足够 解 出 消息 。 
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为 了 抵抗 这 种 攻击 ， 我 们 必须 使 用 随机 数 来 填充 消息 。 这 是 一 个 很 好 的 主意 。 当 然 ， 最 
简单 的 方法 是 使 用 简单 的 确定 的 填充 ， 针 对 不 同 的 接受 者 而 不 同 。 但 是 填充 必须 是 随机 的 ， 
否则 这 些 填 充 训 无 用 处 : 

一 些 更 加 复杂 的 此 类 攻击 为 Hastad 的 广播 攻击 和 Coppersmith 的 短 填充 攻击 。 但 是 如 
果 使 用 更 大 的 加 密 指 数 e= 24 +1= 65537 ， 则 这 个 方向 上 的 脆弱 性 似乎 可 从 本 质 上 消除 。 

而 且 , 当 《公开 的 ) 加 密 指数 很 小 时 , 解密 密 钥 的 部 分 暴露 可 以 完全 破解 RSA 密码 算法 ， 
见 参考 文献 [Boneh 1999]。 在 [Boneh， Durfee， Frankel 1998] 中 ,给 定 解密 (私人) 密 钥 a 的 
n/4 个 重要 的 位 ， 就 可 以 在 elog，e 的 线性 时 间 内 解 出 整个 加 密 密 钥 ， 其 中 e 为 加 密 密 钥 。 这 
与 一 个 因 式 分 解 结论 十 分 相关 :给 定 了 的 n/4 个 高 位 比特 或 my4 个 低位 比特 ， 我 们 可 以 对 六 
进行 有 效 的 分 解 [Coppersmith 1998]。 

实现 攻击 。 特 别 是 在 使 用 智能 卡 的 情况 下 ， 攻 击 者 在 实际 上 可 能 具有 无 限 的 机 会 进行 已 
知 明文 攻击 ，RSA 的 早期 形式 易 遭 受 时 间 攻 击 ， 攻 击 者 可 以 测量 计算 需要 的 时 间 ， 进 而 寻找 
在 解密 过 程 中 的 求 罕 运 算 的 数目 ， 从 而 获得 解密 指数 中 的 信息 [Kocher 1996]。 


习题 


10.2.01 一 个 RSA 密码 的 模 数 为 12091， 加 密 密 钥 为 3。 明文 为 “2107” (我们 并 不 关心 
将 明文 文本 转化 为 整数 的 方式 )。 请 对 其 加 密 。 

10.2.02 一 个 RSA 密码 的 模 数 为 210757， 加 密 密 钥 为 3。 明 文 为 “12345”( 我 们 并 不 关 
心 将 明文 文本 转化 为 整数 的 方式 )。 请 对 其 加 密 。 

10.2.03 一 个 RSA 密码 的 模 数 为 210757， 加 密 密 钥 为 3。 明 文 为 “54321”( 我 们 并 不 关 
心 将 明文 文本 转化 为 整数 的 方式 )。 请 对 其 加 密 。 

10.2.04 一 个 RSA 密码 的 模 数 为 12091， 加 密 密 钥 为 3。 请 计算 解密 密 钥 。 

10.2.05 一 个 RSA 密码 的 模 数 为 14659， 加 密 密 钥 为 3。 请 计算 解密 密 钥 。 

10.2.06 一 个 RSA 密码 的 模 数 为 15943， 加 密 密 钥 为 3。 请 计算 解密 密 钥 。: 

10.2.07 一 个 RSA 密码 的 模 数 为 1019X 1031， 加 密 密 钥 为 3。 请 计算 解密 密 钥 。 

10.2.08 一 个 RSA 密码 的 模 数 为 12091， 加 密 密 钥 为 3。 密 文 为 “9812” 请 对 其 解密 (只 
对 整数 操作 ， 我 们 假设 已 经 以 某 种 未 知 的 且 不 相关 的 方法 对 文本 进行 了 编码 )。 


10.3 ”Difffe-Hellman 密 钥 交换 


本 算法 既是 最 初 的 公 角 密码 思想 ， 又 是 当前 人 们 使 用 的 一 种 重要 的 机 制 。 其 实用 之 处 在 
于 对 称 密 钥 算法 通常 比 非 对 称 密 钥 算 法 速度 要 快 得 多 不 论 是 硬件 实现 还 是 软件 实现 )， 
此 公 钥 密码 算法 仅仅 被 用 来 建立 私人 密 钥 ， 即 只 在 一 次 会 话 中 使 用 的 会 话 密 钥 。 

这 个 协议 使 用 一 些 特殊 的 技术 ， 包 括 离 散 对 数 ， 当 然 也 利用 了 计算 离散 对 数 的 相对 困难 
性 。 因此， 它 不 仅仅 工作 于 乙 / 己 上 离散 对 数 的 情况 ， 而 且 可 以 被 扩展 到 任意 有 限 域 、 椭 圆 曲 
线 或 者 可 以 使 用 对 数 的 其 他 群 结构 。 

首先 ，Alice 和 Bob 协商 一 个 大 的 素数 m， 以 及 一 个 模 m 的 本 原 根 g 。 这 些 数 不 需 要 保 
密 ， 且 可 以 被 一 群 用 户 共享 。Alice 选择 一 个 大 的 随机 整数 x， 秘 密 计 算 开 = g*%m ， 并 通过 
尽 可 能 安全 的 信道 将 无 发 送 给 Bob。 与 此 同时 ，Bob 也 选择 一 个 大 的 随机 整数 y ， 秘 密 计算 
Y= g?*%m ， 并 通过 尽 可 能 安全 的 信道 将 了 发 送 给 Alice。 
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于 是 Alice 秘密 计算 k= 了 Y”%m ,而 Bob 也 同样 计算 k= XY%m 。 实 际 上 有 ,k=k'modm ， 

证 明 如 下 : 进行 模 m 的 计算 ， 我们 可 以 得 到 : 

k=X”=(g 二 =(g”) =kmodm 
因为 模 m 的 整数 可 充分 利用 指数 的 性 质 。 但 是 网 络 上 的 其 他 任何 人 都 不 可 能 获得 大 ， 除 非 他 
们 能 够 计算 离散 对 数 ， 那 么 密 钥 《=k ; 总 可 以 起 或 者 向 技 用 准 对 条 密码 的 密 角 。 

为 了 安全 起 见 ， 素数 模 m 必须 非常 大 , 而且 m 最 好 是 一 个 强 素数 ， 即 最 重要 的 是 m1 
应 该 可 以 被 一 个 相对 大 的 素数 整除 。 我 们 可 以 想像 ，m 最 好 是 一 个 Sophie Germain 素数 ， 
即 (m - 1)/2 也 是 素数 。 但 是 所 有 素数 中 这 种 素数 十 分 稀少 。 它 们 和 挛 生 素数 一 样 稀少 ， 即 素 
数 p 使 得 p+2 也 是 素数 。 目前 人 们 还 不 知道 是 否 存 在 无 限 多 个 Sophie Germain 素数 (也 不 知 
道 是 否 有 无 限 多 个 挛 生 素数 )。 

实际 上 ， 协 议 并 不 要 求 g 必须 为 本 原 根 ， 只 要 求 〈 因 为 安全 原因 ) 它 生成 一 个 大 的 子 群 

/nx ， 因 此 攻击 者 就 不 能 计算 出 相关 的 “对 数 ”。 . 

和 许多 其 他 类 似 协议 一 样 ， 这 个 协议 的 最 初 形式 也 易 遭 受 敌 人 主动 的 中 间 人 攻击 : 监听 
者 可 以 主动 截取 Alice 发 给 Bob 或 者 Bob 发 给 Alice 的 消息 ， 而 且 可 以 使 用 他 们 自己 的 消息 
来 殖 换 这 些 消息 ， 从 而 可 以 分 别 与 Alice 和 Bob 单独 〔〈 有 效 地 ) 执行 Diffie-Hellman 交换 协 
议 ， 并 使 得 Alice 和 Bob 误 以 为 他 们 还 是 在 直接 进行 通信 。 如 果 Alice 和 Bob 实际 上 没有 进 
行事 先 联系 ， 从 而 因此 没有 其 他 办 法 来 相互 验证 对 方 身份 ， 那 么 就 很 难 防 止 各 种 形式 的 伪造 
攻击 。 

公 铀 合伙 人 (Public Key Partners ) 对 这 个 协议 及 其 改进 版 本 申请 了 专利 ， 但 是 该 专 
利 的 有 效 时 间 截 至 1997 年 4 月 29 号 ， 


10.4 ElGamal 密码 





这 个 思想 来 源 于 [EIGamal 1985]。 该 算法 比 RSA 算法 稍微 复杂 一 些 ， 但 仍然 是 一 个 十 分 
基本 的 算法 。 与 RSA 相 比较 ，ElGamal 密码 算法 的 思想 在 技术 上 的 推广 性 更 加 现实 。 例 如 ， 
椭圆 曲线 密码 系统 与 EIGamal 密码 类 似 。 

困难 的 任务 。 这 里 的 困难 任务 是 计算 离散 对 数 。 具 体 如 下 ， 给 定 一 个 模 数 m 和 整数 5 、 
c。 一 个 满足 下 列 等 式 的 整数 x 就 是 c 模 m 且 以 5 为 底 的 (离散 ) 对 数 : 

b” =cmodm 
对 于 随机 数 m 、b 和 c ， 可 能 不 存在 这 样 的 x， 知 道 这 一 点 很 重要 。 但 是 对 于 素数 模 p 和 一 
个 适当 选择 的 底 b 而 言 ， 对 于 任意 不 能 被 p 整除 的 c ， 将 存在 一 个 离散 对 数 〈 这 个 理论 将 在 
后 面 阐述 )。 
给 定 一 个 大 素数 p > 101”。 对 于 两 个 整数 b、c ， 假 设 我 们 知道 对 于 某 个 x， 满 足 : 
b” =cmodp 
困难 任务 就 是 在 给 定 b、c 和 pp ， 计算 x。 
对 于 任意 正 整 数 m ， 如 果 每 一 个 与 p 互 素 的 整数 c 都 可 以 表示 为 如 下 形式 ， 
c=b” modm 
则 整数 b 通常 被 称 为 模 p 的 本 原 根 。 我 们 将 在 后 面 看 到 , 对 于 特殊 的 整数 才 存 在 模 m 的 原 根 ， 
主要 包括 素数 模 。 对 于 素数 模 p ,我 们 可 以 看 到 一 个 模 p 的 本 原 根 5 具 有 下 列 特性 : 5 方 窒 b* 
中 满足 模 p 同 余 1 的 最 小 正 整数 第 次 为 p-1。 也 就 是 ， 
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br” l=1imodp 
且 没 有 更 小 的 方 党 满足 这 一 条 件 。 更 一 般 的 情况 ， 对 于 与 可 被 素数 m 整除 的 模 数 互 素 的 任意 
XxX， 区 模 m 的 阶 或 指数 为 满足 下 式 的 最 小 的 正 指数 nn: 


x”" =1lmodm 





我 们 可 以 看 到 本 原 根 具有 最 大 的 阶 。 : 

对 于 ElGamal 密码 ， 严 格 地 讲 并 不 是 必须 具有 一 个 模 p 的 本 原 根 ， 因 为 我 们 只 需要 构造 
b' 三 cmod p ， 但 是 我 们 必须 要 求 5 模 p 的 阶 尽 可 能 的 大 ， 否 则 该 密码 就 太 容易 被 破解 了 。 

“离散 对 数 ” 的 思想 和 利用 计算 离散 对 数 的 困难 性 构建 一 个 密码 体制 的 作法 ， 痢 能 够 做 
进一步 的 抽象 。 这 个 结论 最 流行 的 例子 就 是 椭圆 曲线 密码 ， 要 描述 该 算法 需要 大 量 的 准备 工 
作 ， 我 们 将 在 后 面 进行 论述 。 

加 密 和 解密 的 描述 。 给 定 一 个 大 素数 p >10”， 一 个 模 pp 的 本 原 根 。 (意味 着 任何 数 y 都 
可 以 表示 为 ; y =b* mod p ), 以 及 一 个 在 范围 1<c <p 内 的 整数 c。 密 铀 就 是 使 得 65! =cmod p 
的 方 守 ! (离散 对 数 )。 只 有 解密 者 知道 1 。 

加 密 步 骤 如 下 : 加 密 者 知道 5,c,p 。 明 文 x 被 编码 为 一 个 整数 ， 在 范围 0<x<p 之 间 。 
加 密 者 选择 一 个 辅助 随机 整数 > ， 这 是 一 个 只 有 加 密 者 知道 的 临时 秘密 数 ， 并 对 明文 x 加 密 
如 下 : 





y=Ecpr(X)= (xxc’ )%p 

加 密 者 将 这 个 加 密 的 消息 与 “ 头 部 ”6’ 一 起 发 送 。 注 意 加 密 者 只 需要 知道 b,c,p 以 及 随机 选 
择 的 整数 + ， 但 不 知道 离散 对 数 1。 

解密 步骤 需要 离散 对 数 /1 的 知识 , 而 不 是 随机 整数 。 解密 者 知道 5,c, P,! 。 首 先 ， 从 “ 头 
部 ”w" 中 解密 者 可 以 计算 得 到 : 

(b’) =b" =(b')" =c’ modp 
则 可 以 通过 乘 以 ce? 模 p 的 乘法 逆 元 (ce) 站 解 出 明文 ; . 
Decpriy)=(6) -yh%p=(c") ce’ xmodp=x%p 

备注 ”实际 上 ,5 没有 必要 是 原 根 但 是 必须 满足 的 条 件 : 满足 b+ =1mod p 的 最 小 正 整 
数 庆 几乎 和 p 一 模 一 样 大 。 我 们 可 以 将 这 种 5 称 为 准 本 原 根 ( 拟 本 原 根 )。 

因此 , Alice 为 了 建立 起 一 个 离散 对 数 公 钥 密 码 系统 ， 从 而 使 得 其 他 人 可 以 向 她 发 送 只 有 
她 才能 解密 的 加 密 消 息 ， 她 选择 一 个 大 的 随机 素数 p ， 选 择 一 个 随机 的 模 p 的 准 本 原 根 。， 
在 范围 1<!< P-1I 中 选择 一 个 随机 整数 ! ， 并 计算 : 

c=b!' modp 

因此 ， 并 不 是 实际 计算 一 个 离散 对 数 ，Alice 首先 选择 “对 数 ”! ， 然 后 计算 数 c。，c 以 1 作为 
其 对 数 。 她 对 i 保密 (i 位 私人 / 秘 窗 密 钥 )， 但 是 公开 46,c,p 。 当 任何 其 他 人 想 要 给 她 发 送 消 
息 时 ， 他 们 就 拥有 足够 的 信息 ， 即 (6,c, p) ， 来 进行 加 密 运 算 。 但 是 只 有 Alice 才能 够 解密 ， 
因为 只 有 她 才 知 道 该 离散 对 数 。 

例子 ”我们 可 以 举 一 个 小 例子 来 说 明 这 个 过 程 。Alice 选择 p = 1009 作为 她 的 “随机 ” 素 
数 ， 以 及 b=101 作 为 一 个 随机 的 准 本 原 根 。 她 选择 “随机 ”对 数 1= 237 ， 并 计算 : 

101237%1009 = 482 

她 公布 (6,c,p) = (101,482,1009) ， 并 保持 1= 237 为 秘密 信息 。 当 Bob (或 其 他 任何 人 ) 想 要 向 
Alice 发 送 消息 x= S$9 ， 他 就 执行 如 下 过 程 。 他 选择 “随机 ”的 x=291 (他 最 好 在 不 同 的 场 
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合 下 选择 不 同 的 x )， 并 计算 ， 
cr = 48221%61009 = 378 
然后 Bob 给 Alice 发 送 : 
x.cr%1009 = 559.378%1009 = 421 
以 及 头 部 
b”%1009 =1012?1%61009 = 661 
当 Alice 接收 到 消息 / 头 部 对 (421,661) 后 ， 她 解密 如 下 。 因 为 Alice 知道 离散 对 数 ! ， 根 据 
b" = 661 她 可 以 计算 得 到 c” (所 有 运算 都 模 1009): 
c =(b') =(6’) =661”" =378mod1009 
Alice 于 是 计算 乘法 逆 元 : 
378-! mod1009 = 670 
然后 ， 她 最 后 计算 明文 ; 
明文 =378- .421mod1009= 670.421= 559 

这 样 ， 她 就 解 出 了 原始 消息 “559”。 

备注 注意 Alice (和 Bob) 必须 能 够 计算 整数 模 1009 的 较 大 方 寡 。 存 在 一 个 很 好 的 算 
法 来 实现 这 个 目的 ， 我 们 将 在 稍 后 论述 。 

EIGamal 密码 算法 安全 性 的 基本 方面 。 这 个 密码 算法 的 安全 性 取决 于 计算 整数 c 基于 b 
的 离散 对 数 ; 的 难度 ， 且 模 素数 p ， 而 且 这 个 整数 满足 : 

b! =cmod p 

这 些 对 数 与 实数 或 复数 的 对 数 之 间 几 乎 不 存在 某 些 切实 的 联系 ， 尽 管 他 们 共有 一 些 抽 象 
的 特征 。 计 算 离散 对 数 的 早期 算法 是 进行 简单 的 试验 。 计 算 离散 对 数 的 更 好 算法 〈 例 如 ， 攻 
击 EIGamal 密码 算法 ) 要 求 对 模 的 整数 有 更 多 的 了 解 。 

为 了 避免 在 一 些 特殊 情况 下 一 些 特殊 的 对 数 计算 攻击 , 我 们 必须 选择 p 使 得 p -1 不 具有 
“ 太 多 ”的 小 素数 因子 。 因 为 p -1 是 偶数 ， 它 总 是 具有 因子 2， 但 是 除了 这 个 因子 ， 我 们 希 
望 能 够 避免 其 他 小 因子 。 

加 密 /解密 算法 的 速度 。 和 RSA 一 样 ， 加 密 和 解密 算法 的 速度 主要 取决 于 模 n 的 指数 运 
算 的 速度 ， 后 者 可 以 得 到 适当 的 提高 。ElGamal 算法 〈 以 及 相关 算法 ) 具有 这 样 一 个 特征 ， 
即 加 密 者 需要 一 个 很 好 的 随机 数 供应 源 。 因 此 ， 获 得 高 质量 的 伪 随 机 数 生 成 器 对 于 ElGamal 
算法 很 重要 。 

对 于 密 钥 生成 和 管理 的 建议 。 对 这 个 密码 系统 的 最 明显 要 求 就 是 普通 的 大 素数 p 的 选 
择 , 要 求 大 约 p >10'% 。 试 除法 对 于 这 个 要 求 是 完全 不 够 的 。 无论 谁 构造 六 = cmodp 大 概 都 
将 首先 选择 一 个 大 的 素数 p， 很 有 可 能 还 要 满足 额外 的 条 件 , 对 于 这 种 或 其 他 任何 目的 考虑 ， 
一 种 特殊 的 好 素数 具有 形式 p=2.p'+1， 其 中 p' 为 男 一 个 素数 。 在 这 种 情况 下 ， 在 范围 
1<b<P-1 内 的 数 b 大 约 有 一 半 为 本 原 根 (因此 具有 阶 2p' ), 而 男 一 半 具 有 阶 p'， 它 们 也 不 
算 太 差 。 因此 , 5 的 随机 选择 就 可 能 有 许多 很 好 的 候选 者 。 随 机 指数 1 的 选择 以 及 c =b'%p 的 
计算 完成 之 后 ， 准 备 工作 也 就 完成 了 。 

如 果 素 数 p 具有 特殊 形式 p =2.p'+1， 而 p' 为 素数 ， 很 容易 找到 本 原 根 ， 因 为 (我 们 
将 在 后 面 理 解 》 阶 为 p' (而 不 是 2p'， 本 原 根 将 具有 阶 2p' ) 的 元 素 是 Z/p 中 所 有 的 平方 (或 
二 次 可 )。 是 否 为 一 个 平方 的 特点 很 容易 通过 使 用 二 次 符号 计算 得 出 ， 和 我 们 在 后 面 将 看 到 的 
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一 模 -- 样 。 因 此 ， 对 于 素数 p =2.:p'+1， 要 求 在 EIGamal 算法 中 使 用 的 数 45 为 模 p 的 本 原 根 
是 可 行 的 。 
对 于 几 个 关键 构造 5' =cmod p ， 使 用 单个 素数 模 p 仍 有 点 似是而非 ， 因 为 模 p 可 能 
许多 不 同 的 本 原 根 ， 所 以 一 旦 用 其 中 一 个 本 原 根 所 做 的 构造 受到 攻击 ， 则 将 会 危及 其 他 的 构 
另外 ， 任 何 加 密 者 在 加 密 过 程 中 将 需要 一 个 伪 随 机 整数 的 良好 供应 源 。 这 本 身 也 是 一 个 
问题 。 


习题 





10.4.01 对 于 ElGamal 密码 算法 , 给 定 公开 信息 5=2，c=58，P=103， 请 使 用 r =31 作 
为 辅助 “随机 ” 数 ， 对 消息 “87” 进 行 加 密 。( 假 设 “87” 是 一 个 文本 的 数字 编码 。) 

10.4.02 验证 c=58 以 5=2 为 底 模 p=103 的 离散 对 数 “〈 与 前 一 个 问题 相关 为 1=47。 

10.4.03 对 于 ElGamal 密码 算法 , 给 定 公开 信息 b=2, c=58，p=103，, 使 用 私 铀 != 47， 
对 密 文 “79"” 进行 解密 。 
10.5 Knapsack 密码 


不 存在 单个 的 “Knapsack 密码 ”而 是 存在 使 用 同样 数学 问题 的 一 个 密码 族 ， 这 个 问题 
即 指 knapsack 问题 或 者 子 集 和 问题 。Merkle 和 Hellman[Merkle，Hellman 1978] 首 先 发 明 了 这 
类 密码 。Adi Shamir[Shamir 1982] 找 到 了 一 些 确定 性 的 攻击 方法 。 实 际 上 对 Knapsack 密码 的 
攻击 和 企图 破解 它们 的 进展 代表 了 -种 反复 的 过 程 ， 遂 过 这 种 过 程 产生 了 实际 的 密码 。 我 们 
在 这 里 将 只 描述 基本 的 形式 ， 并 简要 指出 Shamir 攻击 的 本 质 。 不 幸 的 是 ， 不 同 的 knapsack 
密码 被 发 现 有 问题 的 次 数 太 多 以 至 于 有 些 人 对 它们 失去 了 热情 ， 尽 管 大 多 数 改 进 形式 似乎 没 
有 问题 。 

Knapsack 问题 为 ， 给 定 一 系列 正 整 数 a,…,a, ， 并 给 定 另 一 个 整数 b， 如 果 可 能 的 话 ， 
找到 一 个 子 集 a, ,…,a; 【〔 每 一 个 元 素 a; 最 多 只 能 使 用 一 次 ， 尽 管 其 中 一 些 a 的 值 可 能 一 样 ) 
满足 : 

ai t+."+a; =6 
关于 这 个 问题 有 两 种 不 同 的 论述 ， 其 中 一 个 比较 简单 ， 即 给 定 a, 和 4b， 是 否 存 在 一 种 解决 方 
案 。 另 一 个 则 承认 存在 一 种 解决 方案 ， 请 找到 它 。 所 有 这 些 问题 都 (可 能 !) 是 NP 完全 问题 ， 
意味 着 要 解决 这 些 问题 几乎 很 困难 ， 但 是 很 容易 验证 一 个 解决 方案 的 正确 性 。 当 然 ， 如 果 大 
约 n=300， 一 个 针对 a 的 所 有 2” 个 子 集 的 穷 举 搜索 攻击 需要 很 长 时 间 ， 如 果 n= 4096 ， 则 
更 长 。 

为 了 讨论 的 方便 ， 我 们 称 a = (al,…,a) 为 knapsack 向 量 ， 而 4 为 knapsack 的 大 小 。 在 
一 个 解 p= a; +…+a, 中 出 现 的 a 存在 于 大 小 为 5b 的 knapsack 中 。 一 个 长 度 为 n 的 knapsack 
向 量 a = (a1…,a) 可 以 被 用 来 对 由 数位 (0 和 1) 组 成 的 向 量 x = (x,…,x,) 进 行 加 密 ， 通 过 
计算 一 个 结构 上 像 点 积 的 函数 : 

b= f(xX) = Xa + + Xa 
因此 ， 这 个 数量 只 计算 了 那些 a 中 对 应 的 x 为 1 的 数 。 然 后 发 送 knapsack 向 量 a 和 大 小 5。 
解密 为 寻找 加 起 来 等 于 大 小 b 的 knapsack 向 量 元 素 的 子 集 。 因 此 ， 解 密 步 又 等 于 解决 一 个 
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knapsack 问题 。 我 们 注意 到 ， 解决 一 个 knapsack 问题 通常 来 说 很 难 。 因 此 我 们 处 于 一 种 芒 诬 
的 境地 ， 即 授权 的 和 非 授 权 的 解密 通常 都 很 困难 。 

当然 ， 人 们 可 能 马上 会 想到 一 个 问题 ， 即 是 否 可 能 存在 多 于 一 个 的 解密 方案 ， 这 是 一 个 
坏事 情 。 因 此 一 个 具有 下 列 特性 的 knapsack 向 量 被 称 为 单 射 ， 即 对 于 给 定 的 大 小 ， 最 多 存在 
一 个 knapsack 问题 的 解决 方案 。 我 们 可 将 上 面 提 到 的 函数 

fo (Xx) = Xa + + Xn 
作为 对 nn 位 字符 串 x 可 能 的 解密 函数 。knapsack 向 量 a =(a,…,a,) 是 单 射 当 且 仅 当 /为 单 
射 。 特别 地 ， 这 要 求 所 有 的 a; 痢 不同。 

根据 一 般 knapsack 问题 的 NP 完全 性 ， 我们 对 于 上 面 所 述 密 码 的 非 授 权 解 密 的 难度 可 以 
很 自信 ， 但 是 授权 解密 者 也 具有 同样 的 难度 。 为 了 使 得 授权 解密 者 能 够 解决 一 个 相对 容易 的 
问题 (进行 解密 )， 具 体 计划 是 进行 一 定 的 安排 使 得 授权 解密 者 能 够 解决 一 个 更 容易 的 子 问 
题 ， 现 在 我 们 对 此 进行 论述 。 、 

如 果 问 量 中 每 一 个 w 都 是 严格 比 前 面 一 个 元 素 的 值 要 大 ， 则 一 个 knapsack 向 量 
a=(a,…,a) 是 超 增 长 的 ， 也 就 是 说 ， 对 于 每 一 个 下 标 ; ， 有 : 

at+a<a, 
如 果 knapsack 向 量 a= (al,…,a,) 是 超 增长 的 , 那么 就 存在 一 个 更 加 简单 的 方法 来 解决 大 小 为 
b 的 knapsack 问题 ; 
。 如 果 b<a,， 则 a, 不 能 出 现 于 大 小 为 b 的 knapsack 中 ， 因 为 它 不 匹配 。 
es 如 果 4b 宇 qa, ， 则 a, 必须 出 现 于 大 小 为 b 的 knapsack 中 ， 因 为 根据 超 增长 特性 ， 其 他 的 
a; 累加 起 来 比 a, 要 小 ， 因 此 显然 不 能 累加 到 4b 。 

在 第 一 种 情况 中 , 保持 同样 的 大 小 5 。 在 第 二 种 情况 下 , 用 5-a, 代替 。 在 每 种 情况 中 ， 
都 用 (a,,…,a,_i) 代替 knapsack 向 量 。 这 样 就 把 问题 转化 为 一 个 具有 更 短 的 knapsack 向 量 的 
新 knapsack 问题 。 很 明显 ， 当 我 们 达到 a 时 ， 处 理 将 终止 ， 乐 观 地 说 ， 如 果 a =5， 则 问题 
将 会 成 功 解 决 ( 那 时 b 具有 新 的 值 )， 如 果 a 5b， 则 结果 是 否定 的 。 这 也 表明 对 于 具有 超 增 
长 knapsack 向 量 的 knapsack 问题 来 说 , 最 多 只 存在 一 种 解决 办 法 。 因 此 ， 如 果 授 权 解 密 者 可 
以 通过 解决 超 增长 knapsack 问题 而 进行 解密 ， 那 么 这 种 解密 才 被 认为 是 容易 的 。 

但 是 如 果 knapsack 问题 是 明显 超 增长 的 ， 非 授权 解密 者 就 能 够 做 同样 的 事情 。 因 此 ， 我 
们 认为 ， 将 超 增 长 特性 伪装 成 为 一 种 只 有 授权 解密 者 知道 的 行为 ， 而 不 是 为 攻击 者 知道 的 行 
为 。 尽 管 knapsack 项 目 列表 被 进行 重新 整理 ， 如 果 做 得 够 聪明 的 话 ,对 m 件 事情 的 排序 将 只 
需要 O(nlogn) 个 步骤 。 

隐藏 一 个 简单 问题 的 第 一 个 思想 是 通过 一 个 秘密 的 模 某 数 的 乘法 和 减法 .Alice 选择 一 个 
超 增长 的 knapsack 向 量 (a,…,a,) ， 以 及 一 个 整数 〈 模 数 ): 

m>alt+…+a, 
选择 m 比 所 有 a 的 总 和 还 要 大 , 这 使 得 这 个 程序 有 时 被 称 为 强 模 乘法 。 她 选择 另 一 个 与 m 互 
素 的 数 〈 乘 数 ) :t， 因 此 :具有 一 个 模 m 的 乘法 逆 元 。 然 后 Alice 计算 : 
Ci = (ta )%m 
这 样 得 到 一 个 新 的 knapsack 向 量 c = (c,…,c,), Alice 将 其 公布 给 加 密 者 作为 她 的 公 钥 。Alice 
秘密 保存 :和 m 〈 以 及 # 的 模 m 的 乘法 道 元 值 )。 如 果 Bob 要 加 密 一 个 只 有 Alice 才能 阅读 的 
消息 ， 则 加 密 步 骤 与 前 面 给 出 的 类 似 ， 使 用 一 个 更 改 的 knapsack 向 量 c 来 加 密 一 个 位 的 消 
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轧 x=(x,…,x,) 如 下 : 
b= f(x)= cx + + CX 
Bob 将 密 文 5 发 送 给 Alice。Alice 的 解密 步 又 为 ， 首 先 计 算 : 
1 bY%om =17 "(cx + + + CX,) 
= (tc) 十 :二 (tc, )x, = ax 十 ,二 ax mod m 
因为 m 比 所 有 a; 的 总 和 还 要 大 ， 这 个 模 m 的 等 式 实际 上 是 一 个 整数 的 等 式 ， 意 味 着 : 
(1 b)Y%m = xy + + a xX 
因为 Alice 知道 a 的 超 增 长 knapsack 向 量 ， 否 则 可 以 在 任何 情况 下 根据 , 计 算得 到 它们 : 
a; 二 上 .bb,%m 
她 可 以 很 容易 解决 knapsack 问题 并 如 上 所 述 方法 解密 。 因 此 似乎 我 们 得 到 了 一 个 似是而非 的 
公 钥 密码 。 法 定 的 接收 者 拥有 比 通 常 的 knapsack 问题 更 加 容易 解决 的 问题 ， 因 此 如 果 一 个 敌 
人 企图 对 通常 的 knapsack 问题 进行 敌意 的 解密 行为 ， 则 将 会 很 难 。 
问题 ”敌人 为 了 将 问题 转化 为 一 个 超 增长 的 knapsack 问题 并 不 需要 找到 秘密 的 :和 m 

(因此 敌人 并 不 需要 解决 一 个 通常 的 knapsack 问题 )。 总 而 言 之 ， 如 果 敌 人 足够 幸运 地 找到 

了 任意 的 t' 和 im' 使 得 : 
a'=(t" le Wm tc, Vom') 
为 超 增长 的 ， 这 就 将 此 问题 转化 为 一 个 相对 容易 的 问题 。 按 照 这 个 思想 ，Adi Shamir[Shamir 
1978] 发 明了 -种 方法 ， 可 以 在 多 项 式 时 间 内 找到 一 对 (z',m') 以 将 公布 的 向 量 转化 为 一 个 超 
增长 向 量 。 这 就 破解 了 这 个 最 简单 的 knapsack 密码 。 
备注 还 要 注意 的 是 ， 此 密码 算法 很 容易 遭受 选择 明文 攻击 。 


10.6 NTRU 密码 


1995 年 由 J. Hoffstein, J. Pipher 和 J. Silyerman[Hoffstein, Pipher, Silverman 1996] 发 明 的 
NTRU 密码 是 一 个 在 数学 上 比 RSA 或 ElGamal 窜 码 还 要 复杂 的 密码 ， 而 且 因 为 其 复杂 性 和 
出 现 的 时 间 相 对 较 短 ， 所 以 还 不 能 说 已 经 对 其 进行 了 完全 彻底 的 研究 。 毕 竟 ， 将 整数 分 解 成 
为 素数 的 问题 是 非常 古老 的 ， 而且 特 别 是 自从 计算 机 诞生 以 来 计算 机 科学 家 们 已 经 对 其 进行 
了 很 久 的 研究 ， 而 需要 用 来 理解 或 攻击 NTRU 密码 的 计算 类 型 仅仅 从 19 世纪 未 闵可夫 斯 基 
开展 相关 工作 以 来 才 日 显 其 重要 性 ， 而 且 计算 机 科学 家 们 才 对 其 研究 了 仅仅 25 年 。 但 是 认 
为 新 事物 的 发 明 不 可 能 比 旧 事物 要 好 的 观点 是 思春 的 。NTRU 密码 也 申请 了 专利 。 

NTRU 密码 的 一 个 很 重要 的 特性 就 是 和 RSA 或 者 椭圆 曲线 密码 算法 〈“ECC?2” 相 比 较 ， 
很 明显 它 在 某 些 方 面具 有 很 大 的 优点 ， 但 是 在 其 他 一 些 方面 又 具有 缺点 。 从 正面 来 说 ,，( 具 
有 了 明显 的 安全 性 ) NTRU 算法 比 RSA 或 ECC 算法 运行 的 速度 要 快 许多 倍 ， 其 密 钥 生成 也 更 
快 ， 且 需要 更 少 的 存储 空间 。 从 负面 来 说 ， 与 RSA 或 ECC 相 比 ，NTRU 算法 需要 更 大 的 带 
宽 和 更 大 的 密 钥 空间 。 例 如 ， 对 应 于 1024 位 安全 性 级 别 的 RSA，NTRU 的 公 钥 长 度 为 其 两 
倍 。 但 是 这 种 差异 会 随 着 安全 性 级 别 的 增 大 而 降低 。 如 果 或 者 当 NTRU 密码 算法 和 老 的 密码 
算法 得 到 同样 信任 ， 这 些 性 能 平衡 将 会 在 实际 应 用 中 给 NTRU 算法 带 来 很 多 重要 的 优点 。 

另 一 个 重要 的 特征 就 是 ,，( 目 前 据 我 们 所 知 ) 只 有 当量 子 计 算 机 得 到 应 用 时 ，NTRU 密 
码 算法 才 有 可 能 被 破解 ， 而 RSA 和 普通 的 EIGamal 一 定 已 经 被 破解 了 。 自 从 1993 年 Peter 
Shor[Shor 1996a] 发 明 针 对 大 整数 的 快速 因数 分 解 量子 算法 以 来 ， 对 于 RSA 或 普通 的 离散 对 
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数 密 码 算法 来 说 ， 这 种 可 能 性 对 将 来 构成 威胁 。 当 然 ， 针 对 其 他 公 钥 密码 算法 的 “困难 问题 ” 
可 能 也 将 发 明快 速 量子 算法 ， 但 是 到 那 时 RSA 和 ElGamal 密码 算法 已 经 被 称 为 最 易 破 解 的 
算法 了 。 

关于 NTRU 密码 的 建立 和 运行 的 描述 ， 与 RSA 或 ElIGamal 密码 算法 相 比 更 简单 ， 尽 管 
它 只 会 用 到 一 些 非常 基本 的 抽象 代数 和 数论 理论 。 与 之 对 比 ， 理 解 顶 圆 曲线 离散 对 数 密码 所 
需要 的 数学 复杂 性 则 要 大 的 多 。 

困难 问题 。 假 设 是 困难 的 计算 任务 ， 并 因此 假设 是 NTRU 密码 安全 保证 ， 因 为 它 不 像素 
数 分 解 或 离散 对 数 那 么 初等 ， 故 我 们 不 会 对 其 进行 描述 , 。 一 个 必须 保持 是 困难 的 任务 就 是 
在 格 中 寻找 到 最 小 的 向 量 。( 对 于 目前 的 讨论 ， 一 个 “ 格 ” 就 是 向 量 的 一 个 “好 的 ”集合 ， 
有 可 能 存在 于 一 个 高 维 空间 中 。) 这 里 有 一 个 比较 好 的 算法 , 即 LLL (Lenstra-Lenstra-Lovasz) 
算法 [Lenstra, Lenstra, Lovasz 1982]，[Schnorr, Euchner 1994] 对 其 进行 了 改进 ， 后 者 能 够 在 典 
型 的 格 中 找到 一 个 短 向 量 。 但 是 当 最 小 的 向 量 接 近 于 或 者 长 于 最 短 向 量 大 小 的 “期 望 值 ”时 ， 
LLL 算法 就 不 能 很 好 地 执行 了 。NTRU 的 参数 选择 必须 使 其 利用 这 个 效果 。 

加 密 和 解密 的 描述 。 给 定 正 整 数 参数 入 , p,g ， 其 中 p,g 不 必 为 素数 ， 但 是 它们 之 间 必 须 
互 素 ， 且 满足 gcd(N, pq)=1。 设 RR 为 关于 x 的 多 项 式 的 集合 ， 具 有 整数 系数 和 严格 比 N 小 的 
次 数 ， 并 且 基 有 似乎 比较 特殊 的 乘法 六 : 

x 


也 就 是 : 


| De | 大 | De |- Vapi 


OsicN Qsi<N i,j 


加 k 
-5| Foo 
Ok<N \itj=k%N 


RR 中 的 加 法 为 通常 的 多 项 式 加 法 。 从 这 个 描述 看 出 ， 这 个 乘法 是 否 满足 交换 律 、 结 合 律 以 及 
加 法 的 分 配 律 都 还 不 是 很 明确 ， 尽 管 它 具 有 所 有 这 些 特性 。 
我 们 有 关于 只 的 一 些 特 殊 运算 ， 称 为 模 p 约 简 和 模 4 约 简 ， 意 味 着 分 别 对 多 项 式 的 系数 
做 模 p 或 q 的 约 简 。 与 我 们 通常 的 应 用 相 比 较 ， 我 们 可 以 写作 ，; 
f%p = 系数 经 过 模 p 约 简 的 多 项 式 f 
f%gq = 系数 经 过 模 g 约 简 的 多 项 式 了 
注意 这 两 个 约 简 的 输出 之 闻 没 有 任何 联系 。 如 果 有 另 一 个 多 项 式 满足 下 列 等 式 ， 则 我 们 说 
多 项 式 f 具有 一 个 模 p 的 逆 元 : 
(fx*F)%p=1 
为 了 创建 一 个 NTRU 密 钥 ，Alice 选择 两 个 次 数 为 N -1 的 多 项 式 了 和 8g， 确保 f 具有 一 
个 模 p 的 逆 元 F, 和 一 个 模 g 的 逆 元 所 。Alice 的 公 钥 为 : 
h=(F x g)%g 
私 钥 为 了 。 
对 于 这 个 密码 ， 消息 必须 为 次 数 为 N -1 的 多 项 式 ， 具 有 模 p 约 简 的 系数 (根据 我 们 目前 
的 理解 ， 它 们 存在 于 范围 内 (-p/2,p/2] 。) 如 果 Bob 要 为 Alice 加 密 一 个 消息 x， 它 随机 选 
择 一 个 次 数 为 N -1 的 多 项 式 g 并 计算 : 
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y=(p9 *h+x)%g 
然后 将 其 发 送 给 Alice。 
尽管 可 以 通过 一 个 合适 的 概率 算法 来 进行 系统 的 改进 , 解密 还 是 可 能 会 失败 。Alice 要 解 
密 消息 》， 她 需要 根据 前 面 计算 得 到 的 多 项 式 (可 以 存储 在 一 个 安全 的 地 方 )。Alice 
计算 : 
4a= (三 太 969 
然后 ，Alice 通过 下 列 计算 进行 解密 ; 
x=(F, *a)%p 
备注 ”从 上 述 描述 中 ， 我 们 还 不 是 很 清楚 ， 上 面 所 声称 的 解密 方法 是 否 真正 能 够 解 出 原 
始 消息 。 实 际 上 ， 应 该 正确 选择 参数 以 便 能 够 以 很 高 的 概率 完成 解密 任务 。 
备注 根据 我 们 后 面 将 会 论述 的 环 理论 ， 具 有 普通 加 法 和 特殊 乘法 的 多 项 式 集合 R， 是 
商 环 构造 的 一 个 标准 例子 。 特 别 是 ， 简 单 定 义 R 为: 
R= Zlx]/(x” -1) 
类 似 的 对 象 经 常 在 各 种 不 同 的 数学 、 科 学 或 工程 领域 中 的 “ 卷 积 ”计算 中 使 用 ， 但 在 这 些 应 
用 中 通常 没有 明确 提出 商 环 的 思想 。 这 个 观点 的 一 个 实质 就 是 它 提供 了 一 个 系统 方法 来 理解 
“乘法 ”运算 ， 例 如 上 面 介 绍 的 确实 能 够 正常 进行 。 
为 什么 解密 能 够 进行 ? Alice 在 解密 步骤 中 计算 的 多 项 式 为 ; 
a=f*y 
=f*(pg ht+m)%g (根据 加 密 的 定义 ) 
=/ 太 (pp 大玉 太 g+m)%q ”根据 A 的 构造 ) 
= 大 pg 大 下 太 g+f 太 m)%q 〈( 根 据 分 配 律 ) 
=(f 太 FF 太 pg 妈 g+f 太 m)%q 〈 根 据 交 换 律 ) 
=( xX pg kg+f x mg (根据 Fy 模 qg 的 可 逆 特 性 》 
=(p$*g+f wm)%gq 
然后 ， 如 果 需 要 使 得 所 有 的 系数 都 在 范围 (-R/2,g/2] 内 ， 则 Alice 可 以 通过 减 去 g 来 调 
整 系数 。 通 过 对 参数 的 仔细 选择 ， 即 使 在 模 4 的 约 简 运 算 之 前 ， 也 可 以 安排 所 有 的 系数 都 在 
范围 (~R/2,q/12] 内 ， 因 此 模 4 的 约 简 不 会 造成 信息 的 损失 ， 在 那 种 情况 下 ， 当 (目前 的 正规 
版 本 ) a 为 模 g 约 简 的 时 人 息 ， 系 数 将 不 会 改变 。 因 此 ， 模 g 约 简 步骤 没 有 做 任何 事情 ，Alice 
就 准备 计算 : 
(a%p)=(p# kg+f km)%g%p 
=(p$*g+f xm)Np 
=0xg+f 太 h%p (因为 ppg%p = 0) 
= fxm%p 
则 通过 星 号 乘法 乘 以 ,可 以 解 出 明文 : 
(f xm)*wF Wp=(f KF,) Km%p 
二 ] 太 mm 
= 


其 中 ， 我 们 又 一 次 使 用 运算 太 的 交换 律 和 结合 律 ， 以 及 定义 F, 的 特性 : 
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f*F,%p=1 

参数 设置 。 实 也 上, 算法 的 正式 描述 要 求 /建议 ，f,g 和 $ 总 是 被 选择 为 只 具有 +1 和 0 的 
系数 。 当 然 ， 还 有 进 - - 步 的 基于 部 分 启发 式 或 部 分 理论 考虑 的 特殊 建议 。 和 通常 的 密 钥 空 间 
的 考虑 不 同 ， 应 该 选择 适当 的 参数 以 抵抗 格 攻击 ， 这 种 攻击 将 在 下 面 进 行 讨论 。 

安全 性 。 第 一 点 在 于 ， 通 过 得 到 实际 密 钥 空间 的 大 小 的 平方 根 ， 相 当 标 准 的 中 间 人 攻击 
《利用 生日 悖 论 的 思想 ) 可 以 极 大 减 小 搜索 空间 。 因 此 ， 要 求 攻击 者 搜索 101% 个 可 能 性 就 必 
须 得 从 具有 10”” 个 元 素 的 集合 中 选择 f, g,$ 

针对 NTRU 密码 的 最 严重 的 一 类 攻击 似乎 是 所 谓 的 格 攻击 , 这 种 方法 将 密 钥 f 或 多 或 少 
看 作 一 个 特殊 的 向 量 集合 (“ 格 ”) 中 最 小 的 向 量 。LLL 算法 可 以 很 快 找到 一 个 短 向 量 ， 除 非 
通过 使 得 最 短 向 量 的 长 度 接近 于 甚至 长 于 这 种 长 度 〈 对 于 合适 的 “随机 ” 格 ) 的 期 望 值 ， 才 
能 防止 这 种 攻击 。 然 而 ， 为 了 破解 NTRU 密码 ，LLL 算法 不 得 不 在 格 中 找到 其 中 一 个 最 短 的 
向 量 ， 其 中 所 有 的 “ 短 ” 向 量 最 好 都 具有 中 等 长 度 ， 而 不 是 很 短 。 在 NTRU 密码 中 ， 合 适 的 
参数 设置 似乎 能 够 阻 上 LLL 算法 的 攻击 : 试验 证 据 表 明 ， 运 行 时 间 可 以 是 参数 N 的 超 指数 。 
特别 地 ， 这 也 是 建议 相对 小 的 入 值 可 以 使 得 NTRU 安全 地 实现 。 

注意 到 NTRU 中 的 多 项 式 乘 法 常 是 具有 系数 为 1, 0 以 及 一 1 的 多 项 式 乘法 , 并 且 参 数 p 
和 9 时 “正常 的 ”整数 ， 根 据 密 码 学 标准 来 说 是 较 小 的 数 ， 因 此 所 有 的 操作 都 是 针对 于 小 / 
中 等 的 整数 ， 而 不 是 特别 大 的 整数 。 这 一 点 有 利于 提高 NTRU 密码 的 速度 。 


备注 NTRU 的 一 个 不 寻 种 的 特性 是 对 于 每 一 位 明文 ， 它 发 送 大 约 记 人 位 密 文 。 因 为 必 

















须 满足 q > p 以 避免 丢失 信息 ， 这 就 表明 了 NTRU 算法 与 老 的 密码 相 比 是 多 么 浪费 带宽 。 

当 我 们 拥有 量子 计算 机 时 ， 能 够 提高 格 攻 击 的 速度 ， 而 眼下 (2000 年 中 期 ) 还 没有 量子 算 
法 。 当 然 这 并 不 排除 在 将 来 能 够 发 明 此 类 算法 。 但 是 , 与 RSA 的 情况 以 及 素数 分 解 形成 强烈 
的 对 比 : Shor 的 针对 因 式 分 解 的 量子 算法 可 以 完全 破解 RSA。 

对 于 相关 的 加 密 /解密 速度 、 明 显 的 安全 性 、 以 及 更 多 的 细节 讨论 ， 可 以 参见 NTRU 的 
主页 ;，http:W/www.ntru.com / 。 1 


10.7 ”算术 密 钥 交 换 


这 里 谈 到 的 密 钥 交换 机 制 非常 抽象 ， 因 此 对 于 第 一 次 阅读 这 部 分 内 容 的 读者 可 能 应 当 略 
过 。 但 是 ， 它 却 表 明了 现代 数学 在 窗 码 学 中 所 起 的 重要 作用 。 

算术 密 钥 交换 [Anschel, Anschel, Goldfeld 1999] 是 一 个 新 的 密 钥 交换 机 制 。 它 的 目标 是 为 
了 实现 和 上 面 讨论 的 Diffie-Hellman 密 钥 交换 同样 的 功能 ， 也 就 是 当 必须 通过 一 个 不 安全 的 
信道 进行 通信 时 建立 一 个 共享 密 铀 。 与 Diffie-Hellman 相 比 较 ， 它 建立 在 一 些 复杂 的 数学 问 
题 基 础 之 上 ， 并 且 给 出 了 似乎 合理 的 安全 性 声明 。 但 是 ，[Hughes,， Tannenbaum 2000] 的 长 度 
攻击 给 出 了 一 个 令 人 信服 的 启发 式 的 结论 ， 即 似乎 可 以 破解 该 密码 (以 及 相关 密码 )。 密 钥 
交换 和 日 前 已 提出 的 攻击 都 很 难 用 实际 的 术语 来 解释 ， 但 是 考察 密码 算法 和 它们 的 机 制 时 提 
到 这 些 可 能 性 似乎 是 一 个 很 好 的 想法 。 

对 密 钥 交换 的 描述 需要 一 些 群 论 的 思想 ， 我 们 会 在 后 面 系统 地 讨论 这 方面 的 内 容 ， 但 是 
现在 可 以 略 过 。 一 些 关 于 使 用 群 论 来 构造 密码 的 一 般 思 想 早先 出 现 于 [Wagner Magyarik 
1985]。 在 [Abschel, Anschel, Goldfeld 1999] 中 的 一 个 重要 的 新 思想 就 是 辫 群 的 使 用 , 或 者 更 加 
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一 般 的 阿 廷 群 ， 这 些 思想 都 使 用 了 [Birman, Ko, Lee 1998] 中 发 明 的 一 种 新 算法 。 代 数 密 钥 交 
换 申 请 了 专利 。 

设 G 为 一 个 群 ,简单 地 ( 见 后 而 章节) 说 , 这 意味 着 G 为 一 个 集合 , 具有 一 个 元 素 x,yeG 
的 二 元 运算 ， 记 做 xy ， 通 常 该 运算 为 普通 的 乘法 运算 。 很 重要 的 一 点 是 我 们 不 能 假设 该 运算 
是 可 交换 的 。 也 就 是 说 ， 可 能 有 xy yx。 群 中 也 有 一 个 单位 元 eeG， 对 于 所 有 g eG 具有 特 
性 : eg = ge=g 。 此 外 群 中 的 元 素 存在 送 元 。 也 就 是 ,对 于 每 一 个 ge G, 存在 一 个 g… eG， 
使 得 : 





gg =g g=e 
最 后 ， 我 们 要 求 该 运算 满足 结合 律 ， 即 : 
(xy)z = x(y2) 
这 是 一 个 相当 抽象 的 概念 ， 而 且 对 于 所 有 这 种 一 般 思想 的 分 支 将 会 是 怎样 的 ， 并 不 是 完全 清 
楚 。 实 际 上 ,“ 群 ”的 概念 花费 了 100 多 年 才 发 展 到 现在 的 形式 ， 大 约 是 从 1800 年 到 1920 
年 。 
作为 “ 群 ” 的 一 个 例子 ， 上 共有 实数 元 素 的 非 零 2x2 和 矩阵 的 集合 满足 这 些 公理 ， 其 单位 


元 为 : 
| | 
e= 
0 1 


我 们 可 能 记得 ， 拢 阵 乘法 通常 不 满足 交换 律 ， 可 以 用 很 简单 的 例子 来 证 明 。 
给 定 G 中 一 个 固定 集合 S = {51,…,s,} ，S 中 的 一 个 字 为 分 类 was 已 …s ”的 任意 表达 
式 ， 其 中 指数 为 正 整 数 或 负 整 数 。 例 如 : 


S152 5 5? 
是 以 s,s; 以 及 它们 的 逆 构 成 的 字 。 或 者 


aappapa3pb1 

为 a,b 以 及 它们 的 道 构成 的 字 ,“ 字 ”实际 上 就 是 通过 元 素 及 其 逆 重 复 相 乘 得 到 的 任意 表达 式 。 
如 果 G 中 的 每 一 个 元 素 都 可 以 用 S 中 的 元 素 及 其 道 表达 为 一 个 字 ， 则 称 集合 5S 生成 G。 

群 G 中 关于 子 集 $ = {s1,…,s,} 的 字 问 题 为 ， 判 断 S 中 的 两 个 字 是 否 相等 ， 也 就 是 说 ， 判 
断 这 两 个 字 是 否 给 出 群 G 中 相同 的 元 素 。 群 G 中 关于 S 的 共 思 问 题 就 是 ， 对 于 S 中 的 两 个 字 
x,y， 判 断 是 否 存 在 g eG 使 得 gxe ! = y。 众 所 周知 ， 通 常 来 说 字 问 题 具 有 不 可 决定 性 ， 意 
味 着 没有 算法 可 以 解决 它 。 共 圈 问 题 处 在 同样 状况 。 即 使 对 于 特殊 的 群 存 在 某 个 算法 ， 例 如 
Coxeter 群 〈 见 [Garret 1997])， 这 种 算法 也 可 能 是 “不 好 的 ” 也 就 是 说 ， 它 的 运行 时 间 与 答 
入 的 长 度 成 指数 关系 。 

因此 ， 通 常 来 说 字 问 题 和 共 轿 问题 都 是 困难 问题 。 但 是 在 [Birman, Ko, Lee 1998] 中 ， 有 
一 类 被 称 为 辩 群 的 群 非常 有 名 ， 在 其 中 字 问 题 具 有 多 项 式 时 间 解 法 ， 且 似乎 共 罗 问 题 还 是 没 
有 解法 。 如 果 我 们 考虑 这 个 条 件 ， 可 以 根据 这 类 情况 构造 密码 ， 其 中 要 求 授权 解密 者 解决 字 
问题 ， 而 要 求 非 授权 解密 者 解决 共 斩 问 题 。 

具有 nn 个 生成 元 的 办 群 是 由 集合 S = {5,…,s,} 生 成 的 群 G， 且 我 们 知道 ; 


SiSir1Si 二 SirSiSi4] 





以 及 ， 对 于 |i-j|>1 有 : 
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SiS j =5) A 

这 里 不 存在 隐 含 的 关系 ， 即 从 某 种 意 义 上 讲 ， 任何 其 他 正确 的 等 式 都 是 从 这 个 关系 导出 
的 。 也 就 是 说 ， 除 了 具有 相 邻 下 标的 元 素 s; ， 其 他 元 素 两 两 之 间 是 可 以 交换 的 ， 而 且 相 邻 两 
个 元 素 具 有 上 述 有 趣 的 关系 。 这 唤起 了 对 实际 “辫子 ”的 联想 。 

辫 群 为 阿 廷 群 的 定义 的 一 个 特殊 情况 ， 其 中 所 有 参数 mm 都 为 3( 如 下 所 述 )。 一 个 阿 廷 
群 为 由 集合 S = {s1,…,s,} 生成 的 一 个 群 G ， 且 我 们 知道 : 

SBS "SiS; = 31133183 
7 mi 个 元 素 
有 旦 对 于 |i- /站 >1 有 : 
Si3 1/ 三 $/ Si 
而 且 ， 不 存在 “ 隐 舍 ”关系 ， 即 其 他 任何 正确 的 等 式 都 是 从 这 个 关系 导出 的 。 也 就 是 说 ， 除 
了 具有 相 邻 下 标的 元 素 * ， 它 们 两 两 之 间 是 可 以 交换 的 ， 而 且 相 邻 两 个 元 素 具 有 上 述 关系 ， 
如 果 m =3 就 得 到 上 面 一 个 段落 中 的 辫 群 。Coxeter 群 的 定义 包含 阿 廷 群 的 定义 ， 此 外 还 满 
足 一 个 额外 的 关系 ， 即 对 于 所 有 的 指数 i 满足 : 
2 
Si = 

备注 ”由 于 缺少 初步 的 经 验 ， 所 以 这 看 起 来 确实 有 些 神秘 ! 而 且 ， 理 解 这 类 知识 确实 存 
在 困难 。 实 际 上 ， 如 果 进 行 适 当 安 排 的 话 ， 我 们 认为 共 筑 问题 在 本 质 上 和 任何 计算 问题 一 样 
困难 。 

密 钥 交换 。 如 果 必 须 在 不 安全 的 信道 上 进行 通信 ， 密 钥 交 换 的 思想 就 是 为 了 建立 一 个 共 
享 的 秘密 。Alice 和 Bob 执行 如 下 步骤 。 公 共 信 息 为 : 群 G ， 两 个 序列 5S4 = {al,…,qam} 和 
Sg = {61,…,b,} 为 群 G 的 元 素 。Alice 在 Sj 中 选择 一 个 秘密 字 a ，Bob 在 3$ 中 选择 一 个 秘密 
字 b〔 记 住 这 意味 着 a 可 以 用 5, 中 的 元 素 及 其 道 来 表示 ，4 也 一 样 )。Alice 将 下 列 序列 发 送 
给 Bob: 


-1 -1 ，， 


-1 
,adba ， 


abia 
而 Bob 则 将 下 列 序列 发 送 给 Alice: 
bab ,basb™!,...,ba,.b”! 
《这 些 序列 必须 稍微 伪装 使 得 操作 能 够 正常 进行 ), 则 Alice 和 Bob 的 公共 密 钥 为 下 列表 达 式 
( 称 为 a 和 4b 的 换 位 子 ): 


,ab,a 


公共 密 钥 =aba™b” 
我 们 可 以 通过 下 面 的 方法 来 计算 它 : 
令 : 
al =a; 所 “a ky 
为 Alice 的 密 钥 a 的 逆 a7! 关 于 其 a 的 一 个 表达 式 ， 则 共 轩 运 算 x 一 bxb"! 的 一 个 基本 特性 为 : 
ba b=b(a; a kx )271 
= (bai b 1) (Ba 0 
现在 ， 那 些 表达 式 pajp 就 是 Bob 发 送 给 Alice 的 值 ， 因 此 她 知道 其 值 。 也 就 是 说 ，Alice 可 
以 计算 pa- ， 而 且 因为 她 知道 她 自己 的 秘密 a ， 她 可 以 计算 ; 
a.(ba !b!) =aba bp-! 


从 詹 竹 码 彰 法 149 


对 称 地 ，Bob 也 可 以 计算 apa-: ， 因 为 他 知道 他 自己 的 秘密 六 〈 及 其 道 g  )， 他 可 以 计算 : 
(cba- .5 = apa-Ib7 

因此 ，Alice 和 Bob 就 具有 了 一 个 共享 秘密 。 

备注 ”对 此 类 密码 最 明显 的 攻击 取决 于 是 否 能 够 解决 共 轿 问题 。 例 如 ， 目 前 还 不 知道 共 
斩 问 题 在 立 群 中 是 否 具 有 一 个 快速 算法 。 

备注 上 述 描述 并 没有 依赖 于 特殊 的 群 G 。 但 是 为 了 使 得 共享 秘密 apa-10” 更 加 明确 ， 
必须 转化 为 某 种 “规范 的 ”形式 。 对 于 辫 群 ， 这 一 点 在 [Birman, Ko, Lee 1998] 中 有 效 地 实现 
了 。 

给 定 群 G 和 G 中 生成 元 51,…,s, 的 一 个 集合 5 ， 对 于 元 素 weG ， 选 择 w 关 于 ,的 一 个 
尽 可 能 短 的 表达 式 : 





岂 、 记 
WwW= 5 Sh Si 

也 就 是 说 ， 我 们 选择 使 下 式 为 最 小 值 的 一 个 表达 式 : 
(+|k |+…+| ky | 


ka 


则 w 的 长 度 为 (关于 5 ): 
w 的 长 度 =1w)=||+ [1+…+|ky| 
这 个 定义 在 具有 生成 元 5 的 任意 群 G 中 都 有 意义 但 是 只 有 在 一 些 具有 特殊 生成 元 的 群 中 才 
有 具有 易 处 理 的 特性 ， 例 如 辫 群 、 阿 廷 群 和 Coxeter 群 。 通 常 有 : 
Lxy) < L(x) + 1(y) 

如 果 x 和 yy 的 最 短 字 表 达 式 的 某 些 部 分 被 删除 了 ， 则 乘积 wy 的 长 度 有 可 能 比 x 和 y 的 单个 长 
度 的 和 要 小 得 多 。 

这 样 ， 我 们 非常 粗略 地 描述 对 算术 密码 的 Hughes-Tannenbaum 长 度 攻 击 。 利 用 上 面 关 于 
对 密码 描述 的 概念 ， 赁 直觉 我 们 应 该 计算 : 

l(a (atja Da ) 
只 要 满足 : 
Iai" (ora Da ) < (at ya!) 

我 们 把 a," 当 作 a 的 一 个 具有 非 零 概率 的 因子 。 针 对 这 个 问题 的 一 个 大 致 分 析 表 明 ， 这 里 的 
工作 量 将 为 长 度 和 密 钥 数量 的 多 项 式 。 

备注 ”这 个 攻击 是 一 个 比 密码 本 身 更 新 的 思想 ， 并 且 还 没有 完成 全 部 的 研究 工作 。 可 能 
它 还 不 能 完全 破解 此 类 密码 ， 但 是 惟一 需要 指出 的 是 ， 参 数 的 选择 必须 要 明智 。 这 是 一 个 需 
要 继续 研究 的 课题 。 
10.8 ”量子 密码 

因为 在 本 章 我 们 不 准备 介绍 量子 机 制 ， 所 以 我 们 对 量子 密码 和 量子 算法 的 描述 将 是 非常 
简单 的 。 

首先 ， 关 于 量子 效应 ， 我 们 不 打算 关注 传统 计算 机 部 件 尺寸 的 降低 ， 也 不 准备 关注 量子 
效应 在 生产 晶体 管 和 芯片 上 长 达 几 十 年 的 使 用 。 我 们 将 简要 讨论 一 些 新 奇 的 应 用 以 及 对 量子 
效应 的 开发 。 

从 某 种 性 能 意义 上 讲 ， 似 乎 实用 的 量子 信道 可 以 而 且 正 在 被 用 于 具有 绝对 安全 性 的 通 
信 。 大 致 地 讲 ， 这 些 都 是 为 那些 对 于 量子 效应 非常 敏感 的 信道 而 设计 的 ， 例 如 由 于 观察 而 出 
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现 的 状态 变化 。 特 别 地 ， 一 般 的 思想 是 ， 如 果 有 任何 人 在 信道 上 进行 监听 ， 它 就 会 改变 消息 。 
这 也 是 由 于 基本 的 量子 机 制 ， 因 为 “监听 ”可 能 成 为 “观察 ” 也 就 是 说 ， 一 定 能 够 检测 到 
监听 。 使 用 这 样 的 信道 作为 基本 机 制 来 确保 通信 安全 是 量子 密码 的 一 部 分 ,尽管 存在 很 多 实 
际 的 限制 ， 但 工作 模型 已 经 制定 出 来 了 。 这 种 机 制 的 缺陷 是 ， 如 果 存 在 一 个 并 不 介意 被 检测 
到 的 监听 者 ， 则 通信 和 就 会 中 断 ， 而 且 没 有 防御 机 制 ， 只 有 检测 机 制 。 

量子 密码 有 一 个 似乎 不 太 实 用 的 性 质 ， 即 所 谓 的 量子 心灵 运输 (quantum teleportation )， 
它 意 味 着 使 用 了 Einstein-Podolsky-Rosen 效应 [Einstein, Podolsky, Rosen 1935]。 这 与 Bell 的 理 
论 [Bell 19931 相 关 。 大 致 的 思想 为 ， 如 果 两 个 质点 具有 处 于 混乱 状态 的 量子 状态 ， 则 它们 在 
空间 中 是 分 离 的 ， 一 个 状态 (也 许 是 通过 观察 ) 的 变化 立刻 会 引起 另 一 个 状态 的 变化 。 也 就 是 
说 ,信息 传输 的 速度 比 光 速 还 快 ， 任 何 于 扰 介 质 对 其 都 没有 影响 。 假 如 我 们 能 用 一 种 可 信 的 方 
式 生 产 这 种 东西 ， 这 将 是 一 个 量子 心灵 运输 ， 将 提供 一 个 绝对 安全 的 难以 想像 的 通信 。 

另 一 种 不 同 的 情况 是 ， 制 造 一 个 真正 的 量子 计算 机 的 进程 似乎 确实 在 不 断 在 加 快 。 尽 管 
普通 晶体 管 和 微 芯 片 很 好 地 利用 量子 效应 已 有 许多 年 了 ， 大 部 分 的 设计 者 仍 希望 那些 电路 以 
某 种 可 与 肉眼 看 到 的 物体 相 比 较 的 方式 运行 ， 这 实际 上 是 为 了 避免 量子 行为 的 特殊 性 。 到 20 
世纪 80 年 代 一 些 人 想 利 用 量子 效应 而 不 是 避免 量子 效应 . 早 些 时 候 Richard Feynman 曾 指 出 ， 
在 传统 的 计算 机 中 不 可 能 有 效 地 模拟 量子 事件 。 

量子 计算 机 假设 的 讨论 大 约 到 1993 年 还 有 些 不 太 清楚 ， 当 时 Peter Shor 关于 在 量子 计算 
机 上 [Shor 1996a] 快 速 分 解 大 数 的 算法 确定 地 表明 , 如 果 并 且 当 能 够 制造 出 一 台 实 用 的 量子 计 
算 机 ， 则 大 型 计算 中 将 发 生 质 的 变化 。 例 如 ， 大 多 数 流行 的 公 钥 密码 ， 如 RSA， 将 彻底 被 攻 
破 。 

虽然 在 20 世纪 早期 ， 对 量子 计算 机 的 热心 者 很 乐观 ,但 实际 的 进展 却 比 想像 的 慢 得 多 。 
最 近 的 一 些 进 展 在 [Knill,Laflamme,Martinez,Tseng2000] 中 有 过 介绍 ， 那 个 研究 小 组 早先 称 他 
们 成 功 地 实现 了 对 3 qubits 的 处 理 ， 然 后 是 5 qubits, 而 现在 是 7 qubits。 在 所 有 情况 下 他 们 都 
利用 了 核磁 共振 (NMR)。 用 他 们 的 话说 ,“ 我 们 的 实验 程 能 够 用 作 一 个 可 信和 有 效 的 方法 产生 
一 个 标准 的 伪 随 机 状态 ， 这 是 在 液态 NMR 系统 中 实现 传统 量子 算法 的 第 一 步 。” 

另 一 方面 ,即使 我 们 很 乐观 地 想像 量子 计算 机 很 快 就 能 制造 出 来 , 那么 低级 的 传统 计算 技 
术 也 必须 在 量子 计算 机 中 重新 确立 或 被 取代 。 例 如 ,在 相同 的 自然 (Nature) 问题 中 
[Pati,Braunstein 2000]， 据 说 不 可 能 删除 任意 量子 状态 的 拷贝 。 而 传统 的 计算 机 能 删除 信息 ， 
并 且 可 用 备份 来 撤消 删除 ， 但 量子 计算 机 不 能 删除 量子 信息 。 

在 传统 计算 机 上 已 经 不 存在 的 一 个 关键 技术 问题 就 是 (内 部 ) 纠 错 和 容错 计算 问题 。 在 这 
一 问题 上 ,传统 计算 机 是 如 此 可 先 靠 以 致 于 几乎 不 需要 建立 内 部 元 余 。 相 比 而 言 ， 被 量子 计算 
机 利用 的 量子 效应 则 本 质 上 需要 开发 一 个 全 新 的 面向 量子 的 纠 错 技 术 。 虽 然 这 个 技术 大 致 可 
建立 在 传统 纠 错 的 基础 之 上 , 但 量子 机 制 的 特殊 性 则 要 求 对 其 稍微 做 些 改变 。 作 为 一 个 例子 ， 
请 参见 [Calderbank,Shor 1996]。 

总 之 ， 人 们 的 期 望 很 高 ， 但 实际 的 进展 并 不 是 那么 好 。 现 在 仍然 不 知道 是 否 会 存在 量子 
计算 机 。 如 果 量 子 计算 机 真 的 存在 ， 也 不 清楚 一 般 人 能 和 否 用 得 起 。 更 不 清楚 是 否 允 许 一 般 人 
拥有 它们 。 
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习题 


10.8.01(*+*) 构建 一 个 量子 计算 机 能 够 将 6 分 解 因数 为 2X3。 
10.8.02(**) 构建 一 个 量子 计算 机 能 够 将 15 分 解 因 数 为 3X5。 


10.9 ”美国 出 口 限 制 


直到 最 近 几 年 , 密码 产品 还 被 美国 政府 归 类 为 军需 品 , 其 出 口 需要 联邦 政府 的 正式 批准 。 
通常 ， 强 密码 产品 完全 不 可 能 出 口 ， 尽 管 强 密 码 产 品 在 全 世界 都 可 以 得 到 的 事实 并 不 使 人 惊 
讶 。 很 多 年 来 ， 人 们 都 推测 这 一 限制 后 面 的 动机 。 很 多 人 推断 ， 美 国 相信 如果 它 不 对 强 密码 
产品 进行 出 口 ， 世 界 上 的 其 他 人 就 不 可 能 得 到 强 的 加 密 算法 。 另 外 一 些 人 认为 ， 禁 止 出 口 将 
阻碍 强加 密 算 法 在 国内 的 推广 使 用 ， 而 联邦 调查 局 (F.B.I) 当然 希望 阻止 强加 密 算法 的 使 用 。 

到 了 1998 年 ， 这 种 严格 的 控制 得 到 了 一 定 程度 的 放松 : 用 于 鉴别 目的 的 任意 密 钥 长 度 
的 RSA 软件 产品 可 以 出 口 , 尽管 必须 证 明 此 类 产品 不 可 能 很 容易 被 用 于 加 密 的 目的 。 例如 用 
于 加 密 的 RSA 算法 , 其 密 钥 长 度 被 明确 限制 为 512 位 。 用 于 商业 用 途 而 具有 更 大 密 钥 长 度 的 
加 密 产 品 的 出 口 有 时 也 是 允许 的 ， 例如， 用 于 商业 交易 的 使 用 768 位 密 钥 的 Cybercash 被 允 
许 出 口 。 

到 1999 年 底 ， 联 邦 立法 至 少 在 原则 上 改变 了 这 一 状况 。 从 理论 上 讲 ， 一旦 得 到 联邦 政 
府 的 批准 ， 任 何 东西 都 可 以 出 口 ， 只 要 强 密码 产品 不 被 出 口 到 支持 恐怖 主义 的 国家 。 这 就 使 
得 一 些 公司 可 以 出 口 强 密码 产品 ， 但 是 不 清楚 私人 的 状况 。 例 如 ， 不 清楚 是 否 一 些 强 密码 产 
品 的 “免费 ”代码 是 否 可 以 被 合法 地 放 到 Web 站 点 上 。 还 有 一 些 另 外 的 问题 ， 例 如 将 某 些 东 
西 放 在 Web 上 是 否 被 当 作 出 口 。 

2000 年 5 月 ， 欧 盟 非 正 式 地 宣布 了 一 个 暂时 的 协定 而 使 世界 震惊 ， 即 对 欧盟 成 员 以 及 其 
他 一 些 国 家 ， 包 括 美 国 、 加 拿 大 和 日 本 完全 解除 对 密码 软件 的 出 口 管制 。 这 一 做 法 与 美国 政 
府 政策 制定 者 的 出 口 政策 完全 相反 ， 也 与 英国 和 法 国 的 政策 相反 。 :假设 美国 政府 相关 政策 的 
宽松 性 将 接近 或 者 超过 欧盟 的 政策 ， 将 使 得 美国 生产 商 具 有 竞争 力 。 欧 盟 达 成 的 暂时 协定 计 
划 在 2000 年 6 月 13 口 得 到 正式 批准 并 正式 公布 ， 同 时 还 公布 其 他 一 些 最 近 制 定 的 政策 ， 但 
是 最 终 并 没有 公布 。 欧 盟 没有 给 出 任何 解释 。 难 道 又 回 到 了 过 去 的 状况 ? 

对 于 目前 的 大 多 数 出 口 问题 的 状况 而 言 ，RSA 密码 算法 的 FAQ 是 一 个 合理 的 参考 ， 对 
于 RSA 有 关 的 实际 问题 也 一 样 ， 请 访问 如 下 Web 页 : 

http:/Wwww.rsa.com/rsalabs/newfaq/ 

















本 章 将 详细 讨论 素数 。 除 第 一 小 节 涉 及 到 欧 几 里 得 对 素数 有 无 穷 多 个 的 证 明之 外 ， 其 余 
各 节 的 讨论 比 本 书 的 其 他 部 分 都 要 复杂 ， 但 是 跳 过 这 部 分 内 容 不 会 影响 对 本 书 其 余 内 容 的 理 
解 。 

但 是 为 了 加 深 理 解 ， 读 者 最 好 还 是 仔细 阅读 本 章 内 容 ， 并 参考 有 关 资 料 以 便 了 解 更 加 详 
细 的 内 容 。 

11.1 欧 几 里 得 定理 

我 们 的 经 验 可 能 已 经 表明 ， 整 数 可 以 惟一 分 解 为 素数 的 乘积 ， 但 是 对 于 存在 无 限 多 个 素 
数 的 结论 ， 从 直觉 上 看 人 们 好 象 还 不 是 那么 认同 。 欧 几 里 得 在 2000 年 前 的 证 明 不 但 具有 独 
创 性 ， 而 且 是 一 个 间接 证 明 ( 反 证 法 ) 的 好 例子 。 

在 此 讨论 中 ， 我 们 认可 整数 可 以 惟一 分 解 为 素数 乘积 的 结论 。( 这 是 我 们 后 面 结论 即 所 
有 欧 几 里 得 环 具有 惟一 的 因 式 分 解 的 一 个 特例 。) 

定理 ( 欧 几 里 得 ) ”素数 有 无 穷 多 个 。 

证 明 用 反 证 法 。 假 设 只 有 有 限 多 个 素数 。 设 pl,…,ps 是 全 部 的 素数 ， 考 虑 数 
N=pi-P2- … -Pn Pn+1。 也 就 是 说 入 是 所 有 素数 之 乘积 再 加 1。 因 为 N>1， 且 NN 可 以 
分 解 为 素数 的 乘积 ， 故 一 定 存在 素数 p 整除 N 。 然 而 p 一 定 不 在 素数 pj,…, p, 之 列 ， 因 为 如 
果 p 是 其 中 之 一 ， 则 p 整除 N-(p…p,)=1， 这 显然 不 成 立 。 因 此 实际 上 ，p 不 在 p; 之 列 
已 经 与 我 们 的 假设 一 一 列 出 了 所 有 的 素数 产生 了 矛盾 。 那 也 就 是 说 ， 假 设 只 有 有 限 个 素数 不 
成 立 ， 因 此 素数 应 有 无 限 多 个 。 全 

注意 ， 这 里 并 没有 给 出 进一步 的 结论 ， 即 哪些 数 是 或 者 不 是 素数 ， 也 没 说 明 到 底 存在 多 
少 个 那样 的 素数 。 


11.2 素数 定理 


大 约 1800 年 前 ， 勒 让 德 已 经 根据 列 出 的 素数 对 素数 的 属性 进行 了 猜测 。 高 斯 也 考虑 了 
这 个 问题 ， 但 是 勒 让 德 和 高 斯 都 没有 能 够 精确 地 证 明 任 何 结论 。 直 到 一 百年 后 ， 即 1896 年 ， 
Hadamard 和 la Valleé 一 Poussin 分 别 独立 证 明了 下 面 的 结论 。 


素数 的 标准 计数 函数 为 : 
ZA(X)= 比 x 小 的 素数 的 个 数 
我 们 使 用 标准 的 符号 : 
f(x) ~ g(x) 
即 ; 
lim /1 
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定理 ”素数 定理 :， 当 x 一 +o 时 ， TO) ~ 
nx 


此 定理 的 证 明 很 困难 ， 我 们 不 打算 在 这 里 给 出 详细 的 推导 。 此 理论 正如 其 表达 的 那样 ， 
并 没有 指出 表达 式 (x(x) Inx)/x 是 如 何 收敛 到 1， 以 及 变化 过 程 是 否 有 任何 起 伏 波 动 。 下 一 步 : 
的 工作 就 是 解决 逼近 这 个 极限 的 问题 ， 对 这 个 问题 的 研究 在 该 定理 证 明之 后 的 头 十 年 十 分 活 | 
跃 ， 并 一 直 延 续 到 今天 。 


11.3 ”序列 中 的 素数 


在 欧 几 里 得 证 明 存在 无 限 多 个 素数 的 1900 年 之 后 ， 狄 利克 雷 才 给 出 了 在 某 个 算术 级 数 
中 有 关 的 素数 结论 。 
一 个 算术 级 数 是 表达 式 oa+z 的 集合 ， 其 中 a0 且 4 为 固定 的 整数 ，n =0,1,2,3,4,…。 
例如 : 假设 a=5,5=3， 我 们 可 以 得 到 下 列 算术 级 数 : 
3, 8, 13, 18, 23, 28, 33, 38, 
假设 a=3,5=6， 我 们 可 以 得 到 下 列 算术 级 数 ; 
3,9,15, 21, 27,33,39,…. 
在 第 一 个 序列 中 己 经 有 几 个 素数 ， 如 果 我 们 继续 下 去 ， 就 会 得 到 更 多 的 素数 。 第 二 个 序列 中 
的 第 一 个 元 素 为 3， 也 是 惟一 的 一 个 素数 。 实 际 上 ， 我 们 可 以 看 到 ， 第 二 个 序列 中 的 每 一 企 
元 素 都 可 以 被 3 整除 ， 因 此 当然 不 是 素数 (从 第 二 个 开始 )。 因 此 第 二 个 序列 一 定 不 会 包 .， 
无 限 多 个 素数 。 内 此 ， 根 据 这 个 例子 的 经 验 ， 我 们 可 以 认为 ， 不 能 指望 在 一 个 算术 户 而 
{an+5:n=0,1,2,…} 中 得 到 无 穷 多 个 素数 ， 除 非 满足 gcd(a,5) =1。 最 乐观 的 结论 就 是 满足 下 
面 这 个 简单 且 易 理解 的 条 件 : 
定理 ( 犹 利 克 雷 )” 令 gcd(a,5)=1， 则 在 下 列 算 术 序列 中 存在 无 穷 多 个 素数 ; 
b,a+b,2a+b,3a+b,4a+b,. 
(证 明 过 程 省 略 ， 因 为 这 对 我 们 来 说 太 难 了 . ) 
注释 ”如果 满 足 5=1， 则 利用 分 圆 多 项 式 可 得 到 一 个 可 理解 的 证 明 ,， 该 多 项 式 在 后 面 将 
会 提 到 。 
几乎 就 在 1896 年 素数 定理 被 证 明之 后 ， 人 们 将 该 思想 与 狄 利克 雷 早 期 关于 算术 级 数 中 
的 素数 的 思想 结合 起 来 ， 证 明了 一 个 相关 的 命题 ， 
定理 令 gcd(a,b)=1， 设 N(x) 为 算术 序列 “4b,a+b,2a+b,3a+b,4a+b,… ”中 素数 
的 个 数 ， 序 列 中 的 数 小 于 上 界 x 。 设 g(a) 为 a 的 欧 拉 函数 , 则 有 : 
Xas (xX) 
x*>% XxX/ pa)lnx 
(证 明 过 程 省 略 ， 因 为 这 对 我 们 来 说 太 困 难 . ) 
在 后 面 定理 中 出 现 的 p(a) 的 因子 ， 充 分 表明 了 这 样 一 个 事实 如 果 5b5 和 a 具有 公 因 子 ， 
则 在 在 何 一 个 此 类 算术 序列 中 都 不 可 能 出 现 素数 。 因 此 对 于 给 定 的 a， 只 有 gp(a) 个 算术 序列 
中 会 出 现 素 数 〈 如 果 序列 以 a 的 不 同 倍数 作为 开始 ， 并 不 认为 它们 是 不 同 的 )。 因 此 我 们 说 ， 
在 素数 5b 模 a 的 同 余 类 中 素数 是 等 分 布 的 ， 这 里 的 5 与 a 互 素 。 
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11.4 车 贝 雪夫 定理 

1851 年 , 车 贝 雪夫 在 素数 定理 的 证 明 上 取得 了 突破 。 尽 管 他 所 证 明 的 结论 比 所 猜测 的 结 
沦 要 弱 ， 但 是 除了 收集 统计 数据 和 进行 罗列 之 外 ， 这 是 第 一 个 实质 的 进展 。 根 据 我 们 所 掌握 
狗 知 识 ， 他 的 证 明 或 多 或 少 是 可 理解 的 ， 内 此 我 们 在 此 给 出 证 明 。 

定理 〈 车 贝 雪夫 ) 存在 正常 数 c 和 C 满足 (对 足够 大 x ): 


cAx) CC. 
In 


Inx 
”证 明 我们 需要 定义 标准 的 辅助 函数 : 
0(x)= > np 
素数 p: p<x 
yx)= DInp 


素数 p: keZ,p* <x 
也 就 是 说 ，6(o) 是 比 x 小 的 所 有 素数 的 自然 对 数 的 和 ，y(x) 是 Inp 的 和 ， 其 中 素数 究 p* 比 
x 小 。 最 简单 的 估计 来 自 于 9 和 yw ， 因 此 我 们 最 后 会 回 过 头 来 看 该 定理 是 如 何 描述 素数 计数 
函数 地 的 。 第 一 个 必要 的 事情 是 ， 为 了 渐进 估算 的 目的 ，0 和 光 不 能 差别 太 大 。 此 外 ， 车 贝 
到 夫 还 给 出 了 两 个 更 聪明 的 引 理 。 
作 ! 引 理 ”0<y(x)~0(x)<x! dnx)。 
4. (证 明 留 给 读者 ;此 不 等 式 不 存在 任何 精妙 之 处 。) 
' 引 理 (车 贝 雪夫 ) 0(x)= O(x)。 
证 明 设 m=2<，e 为 正 整数 ， 考 虑 二 项 式 系 数 


“a 


27 -0+D)"= 》， Wi = 》 中 


0sksm 0sksm 





因为 


很 明显 ， 1 是 一个 下 可 且 小 于 2”。 另 一 方面 ， 根 据 表 达 式 : 


m m! 
m/2) (m/2) lm/2)! 


我 们 可 以 得 到 ， 每 一 个 素数 p (TF <p <m ) 夫人 ”| 。 也 就 是 说 ， 


WL. 
(m/2)<psm m/2 
自然 对 数 函数 为 单调 递增 的 ， 即 对 于 x<y， 有 In(x) < In(y) 。 因 此 ， 对 等 式 的 两 边 同时 
取 自然 对 数 ， 可 以 得 到 : 
O(m)—0(m/2)<mln2 
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也 就 是 
0(2°) -002° 7 ) < mln2 =2°In2 
因此 ， 重 复 此 步骤 ， 我 们 可 以 得 到 : 
0(2°)=(0(2°) -0(2° )) +0(2°) 

<2° In2+(0(2°1) -0(2° 7)) + 0(2°7) 

<2° In2+2° In2+0(2°™) 

<2 In2+2" In2+2°? mn2+0(2°3) 
继续 重复 此 步骤 ， 有 

2 ln2+22 In2+2 ?In2+.…+2In2+In2 
=2n2-1<2° In2 


因此 ， 对 于 2 < xy 2° » 有 
O(x)<0(2°)=2°+ In2=2.2 In2<4.xIn2= (4In2)-x 


于 是 证 明了 此 引 理 。 2 
引 理 《 车 由 雪夫 ) ”存在 正常 数 c 和 C 满足 不 等 式 
XEYOECx 
证 明 考虑 : 


1= | x" -x)"adr 
乘 以 -x) ， 并 进行 逐 项 积分 ， 没有 一 项 的 分 母 比 2n+1 要 大 ， 因 此 如 果 我 们 乘 以 
1,2,3,…,2n+1 的 最 小 公 倍数 ， 结 果 就 可 以 得 到 一 个 整数 . 


I xlcm(], 2,3,.……, 2n,2n+1) eZ 
因此 有 : 


l<1 xicm(l, 2,3,.…, 2n, 2n +1) 
或 者 : 
F<lcm(l, 2,3,..…, 2n, 2n + 1) 


另 一 方面 , 在 区 间 [0,1] 中 ，x(1-x) 的 最 大 值 为 1 /4 ， 因 此 被 积 函 数 的 最 大 值 为 40/14)” ， 且 有 : 
1 ， 
/三 人) 
上 式 可 以 变换 为 : 


4"<. 


因此 ， 将 这 些 不 等 式 组 合 起 来 ， 我 们 可 以 得 到 : 
4" <ilcm(l, 2,3,…, 2n, 2n +1) 
两 边 取 对 数 可 得 : 
(Qn4):n<Inlcem(l,2,3,.…,2n+1) 
现在 我 们 感到 很 高 兴 ， 因 为 可 以 得 到 下 面 本 质 的 观察 结论 (也 就 是 车 贝 雪夫 第 一 次 介绍 符号 
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yw 的 真正 原因 )。 
引 理 yw(n)= Inlem(], 2,3,.…, 2n+1)。 
(证明 留 给 读者 :其 证 明 并 不 难 !1) 
最 后 ， 我 们 可 以 回 到 计数 函数 x(x)， 而 不 是 辅助 函数 9 和 yw 。 我 们 得 到 一 个 黎 曼 -斯 蒂 
尔 切 斯 积分 : 
z= 人 一 dl0 
进行 分 部 积分 可 以 得 到 : 


O09) , f° 2 


7(%) = Inx 3/2tln2t 


at 





根据 等 式 9(x) = O(x)， 得 到 : 
xz) =. 人 Co) 4 -+d| xX ] 











Inx  J2trln2r Inx In* x 
因为 我 们 现在 知道 : 
cx 人 Ox) ECx 
所 以 对 于 某 些 正 的 常数 c 和 C ， 有 : 
— 志 0(x) < 
1 lnx 
证 毕 。 全 


11.5 ”最 佳 渐进 法 


关于 素数 的 渐进 分 布 ， 已 知 的 最 佳 断 言 要 比 素 数 定理 的 结论 稍 强 ， 因 为 它 给 出 了 一 个 误 
差 项 。 此 结论 起 源 于 LVinogradov 和 Korobov 的 工作 ， 但 是 由 A.Walfisz 和 H.-E.Rickert 最 终 
完成 。 见 [Walfisz 1963]。 对 此 内 容 的 英文 版 说 明 以 及 相关 结论 可 以 见 文献 [Karatsuba 1990]。 

对 数 积分 被 定义 为 : 

i = [a 全) 


Init lnx 


关于 素数 分 布 〈1997) 的 最 佳 渐进 断言 的 证 明 为 : 存在 一 个 正常 数 c 满足 : 


x(x) =1i(x)+ dr 


ec(na (nlnx) 
为 了 简单 一 些 ， 我 们 可 以 将 此 断言 弱化 为 ; 


Xx Xx 
= 一 +O 
A) lnx EE | 


因为 1i(x) 是 单调 递增 的 , 它 有 一 个 反 函数 。 令 Ii 门 (x) 为 其 反 函 数 ( 不 是 1/1i(x) )， 则 第 
个 素数 p, 可 以 估算 为 : 





ps + Om 


edn n)3’5 (Inlnn 
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11.6 黎 曼 假设 


尽管 素数 定理 在 1896 年 以 前 没有 得 到 证 明 ， 但 是 早 在 1858 年 ，B.Riemann 已 经 看 出 了 
素数 分 布 的 误差 项 之 间 的 联系 ， 以 及 一 个 特殊 函数 的 精妙 特性 ， 即 为 < 函数 ， 定 义 如 下 。 
对 于 实数 部 分 大 于 1 的 复数 s， 序 列 : 


5) -= 


n>] 
是 绝对 收敛 的 ， 且 是 s 的 一 个 函数 。 这 就 是 < 函数 ， 通 常 称 作 黎 曼 函 数 ， 因 为 G.Riemann ( 约 
1858 年 ) 是 第 一 个 注意 到 5(s) 的 分 析 特 性 直接 与 素数 分 布 的 性 质 有 关 的 人 。 其 他 人 《【 例 如， 
L.Euler) 也 已 经 看 到 了 它们 之 间 的 一 般 联 系 。 欧 拉 也 已 经 观察 到 了 欧 拉 乘积 扩展 : 对 于 实数 
部 分 大 于 1 的 复数 *， 有 
“= T 一 


素数 p 1-—— 
p 





给 出 此 函数 就 意味 着 当 s 的 实数 部 分 小 于 或 者 等 于 1 时 ， 会 出 现 问 题 。 但 是 ， 这 个 问题 
已 在 140 多 年 前 被 解决 了 ， 而 且 不 是 由 欧 拉 解决 的 。 


对 于 在 范围 了 <r<1 内 的 实数 + ， 令 PNT, 为 如 下 命题 : 


对 于 所 有 & >0， 有 zx(%) = +OG"™) 


目前 还 没有 证 明 这 个 结论 是 正确 的 ， 认 识 这 一 点 很 重要 : 此 结论 中 的 误差 项 渐进 地 小 于 已 经 
被 证 明成 立 的 结论 中 的 任意 误差 项 。 


另 一 方面 ， 同样 对 于 在 范围 了 <r <1 内 的 实数 x ， 令 RH, 如 下 命题 


当 s 的 实数 部 分 大 于 > 时 ，6(s)#0 
迄今 没有 人 能 够 证 明 这 个 命题 对 于 任意 >~<1 成 立 。 同 时 ， 我 们 知道 存在 无 穷 多 个 复数 p ， 若 


实数 部 分 为 了 ， Lp) = 0 成立。 


定理 (由 黎 曼 提出 ) 对 于 每 一 个 了 <r<1， 命题 PMT 等 价 于 RH 。 


特别 地 ， 黎 曼 假 设 为 :， 对 于 实数 部 分 大 于 1/2 的 复数 *， 有 (is)z=0 。 

因此 ， 如 果 已 知 黎 曼 假设 是 正确 的 ， 则 在 素数 渐进 分 布 的 描述 中 ， 将 可 能 得 到 最 有 可 能 
的 误差 项 。 但 在 此 方向 上 并 无 任何 本 质 的 了 解 ， 尽 管 积累 的 数字 都 表明 黎 曼 假设 是 正确 的 。 
如 果 黎 曼 假 设 是 正确 的 ， 实 际 上 《如 同 H.vonKoch 所 证 明 的 那样 )， 

zt(x) =1i(x)+ O(Vx Inx) 
第 n 个 素数 =1i!i(n)+ O(ndnn); 2) 

后 来 出 现 了 扩展 黎 曼 假设 ， 这 是 一 个 与 比 函数 更 广 的 函数 类 的 零 值 相 类 似 的 论断 。 并 
及 推广 的 黎 曼 假设 也 是 关于 一 个 更 广 的 函数 类 的 零 值 的 论断 。 如 果 所 有 这 些 假设 都 是 正确 
的 ， 则 它们 给 出 关于 素数 分 布 以 及 素数 广义 性 的 最 可 能 错误 估计 。 不 幸 的 是 ， 除 了 支持 这 些 
假设 的 一 些 数字 以 外 ， 人 们 对 它们 尚 无 任何 本 质 的 了 解 。 








早 在 350 年 以 前 ， 皮 埃 儿 ， 德 。 费 马 就 对 素数 、 素 数 分 解 以 及 数论 的 相关 方面 做 了 许多 
细致 入 微 的 观察 “这 并 不 涉及 数学 和 自然 科学 的 其 他 方面 )。 大 约 在 300 年 前 ， 欧 拉 系 统 地 
延续 了 费 马 的 工作 。 他 所 做 的 大 多 数 事情 都 成 为 “现代 ”数学 思想 的 原型 ， 与 此 同时 也 留 下 
了 许多 与 现代 数论 及 其 应 用 密切 相关 的 问题 。 

本 章 应 用 了 费 马 的 几 个 思想 。 所 谓 的 费 马 小 定理 是 其 后 几 个 结论 的 原型 ， 并 且 紧 接着 应 
用 在 因 式 分 解 技巧 以 及 模 素 数 根 的 公式 中 。 

实际 上 , 在 本 书 的 后 续 部 分 会 不 断 使 用 到 许多 相当 简便 的 计算 在 Z/p 域 上 的 指数 和 根 的 
方法 。 

12.1 费 马 小 定理 


这 个 结果 已 经 有 超过 350 年 的 历史 。 这 个 结果 本 身 就 是 初等 数论 中 一 个 基本 结论 ， 并 且 
是 第 一 个 概率 的 素性 检验 的 起 源 。 只 要 用 很 少 的 条 件 就 可 以 证 明 费 马 小 定理 ， 我 们 现在 开始 
证 明 这 个 定理 。 

定理 ”pp 是 一 个 素数 。 对 任意 整数 x 有 


x?* =xmodp 


证 明 我 们 将 首先 证 明 ， 当 1<i<p 一 1 时， 素数 p 整除 二 项 式 系 数 


0 


请 记 住 在 “极端 ”的 情况 i=0 和 i=p 时 不 可 能 也 满足 这 个 性 质 ， 由 于 


实际 上 ， 根 据 其 定义 ， 





P|__P 
i) i(p-i)! 


P 显然 整除 分 子 。 由 于 0<i< p ， 所 以 素数 p 不 整除 所 有 在 分 母 中 阶乘 的 因子 。 根 据 素数 因 
子 分 解 的 惟一 性 ， 这 就 是 说 不 能 整除 分 母 。 


根据 二 项 式 定 理 ， 
PP pi 
(Cr+J)2 = > (7 


0<i<P 
特别 的 ， 由 于 左边 的 系数 是 整数 ， 所 以 右边 也 必须 是 整数 。 因 此 ， 所 有 二 项 式 系数 都 是 整数 。 
(我 们 不 使 用 p 是 素数 这 个 条 件 来 得 出 结论 。) 


因此 ， 当 0<i<p 时， 二 项 式 系 数 是 整数 并 且 其 分 式 形式 中 的 分 子 可 以 被 p 整除 ， 而 分 
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过 不 能 被 p 整除 。 所 以 ， 在 分 式 化 简 完成 后 ， 分 子 中 肯定 存在 因子 p。 这 就 证 明了 有 关 二 项 
式 系数 的 所 需 条 件 。 

现在 ,我们 通过 归纳 x 《对 正 整 数 x ) 来 证 明 费 马 小 定理 。 首 先 ， 显 然 1 =l1mod p。 根 
据 归 纳 法 的 步 又， 假设 对 特定 的 整数 x ， 存 在 


x? =xmodp 








然后 有 


(x+1)” = >》, Win =x? 十 > WE 
0xsss) \! ocico\! 
等 式 右 边 的 中 间 部 分 的 所 有 系数 整除 p ， 因 此 
(x+1)?=x?*+0+1l=x+lmodp 
由 于 我 们 的 归纳 假设 x? =xmod p 。 这 就 证 明了 定理 中 x 是 正 整 数 的 情况 。 

为 了 证 明定 理 中 x<0 的 情况 ,我 们 应 用 ~x 是 正 整 数 这 个 条 件 。 如 果 p =2 ， 我 们 只 需要 
直接 分 别 证 明 x= 0mod2 和 x=1mod2 这 两 种 情况 。 如果 p > 2, 则 满足 这 个 条 件 的 p 是 奇数 。 
因此 ， 应 用 正 整数 的 结果 ， | 

XxX? =—(-x)?=-(-x)mod p=xmod p 


至 此 定理 得 证 。 全 
习题 


12.1.01 快速 计算 2%%17。 

12.1.02 快速 计算 396%17。 

12.1.03 快速 计算 2”%%23。 

12.1.04 快速 计算 3!000o623。 

12.1.05 人 快速 计算 2 "0o617。 

12.1.06 快速 计算 3100 0000%617。 

12.1.07 如 果 p 是 素数 旦 ged(x, p) =1， 那 么 x 模 PP 的 一 个 乘法 道 元 素 是 x2 2%P 。 

12.1.08(*) 试 比 较 用 欧 几 里 得 算法 和 前 一 个 练习 所 给 出 的 公式 求 乘法 道 元 素 ， 哪 一 种 方 
法 更 简便 ? 


12.2 ”特殊 的 因 式 分 解 表达 式 


通过 费 马 小 定理 ， 我 们 可 以 利用 它 的 结论 并 且 提高 某 些 特殊 的 因 式 分 解 的 速度 。 首 先 ， 
我 们 证 明 一 个 引 理 ， 结 论 非常 有 用 : 

引 理 ”如 果 4b>1， 对 任意 两 个 正 整 数 m,n ， 有 

gecqd (b™” —1,b”—1)= be mn) 1 
备注 在 初等 代数 中 对 正 整数 N， 有 恒等式 
xz l=(x-1/(x” I +x 2+...+x +x+1) 
对 于 的 正 因 子 4， 如 果 x=6b* 并且 N=n/qd， 我 们 可 以 得 到 
bp” -1=(b NY -1= (6b (0) + (b+ + (b+ (be )+1) 

因此 ， 如 果 4d|n， 很 容易 得 到 4b” -1 整除 如 -1 。 
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证 明 ; 首先 ， 需 要 注意 的 是 ， 如 果 m=n， 可 以 断言 这 个 命题 是 真 的 。 下 一 步 就 是 对 更 
大 的 m,n 使 用 归纳 法 。 我 们 可 以 假设 m 夺 4 如 果 需 要 的 话 ， 可 以 调换 m,n 的 位 置 )。 如 果 
=n=1， 断 言 gcd(b -1,5 一 1)=65--1 是 真 的 。 根 据 归 纳 法 ， 由 于 m= 的 情况 已 经 证 明 ， 我 
们 可 以 假设 m<n， 则 有 

(b” -1)-b"” "(bb” -1)=b" "1 
我 们 断言 
gcd (62 ~1,b" -1)= gcd (b”—1,b" ”1) 
一 方面 ,如 果 d|6b” -1 并 且 41b" 1; 则 4B” 一 DD)-b"”"(b” 一 ]) ,那么 dq|b”" -1。 因 此, b” -1 
和 4b” -1 的 任意 公 因 子 4 同时 也 是 的 如 ” -1 因子 。 另 一 方面 ， 重 新 整理 表达 式 可 得 
bp”-1=6b" "(b” -1)+b"” "1 
任何 b” -1 和 4b”” 一 1 的 公 因 子 整 除 等 式 的 右边 ， 也 就 整除 b” -1。 这 就 证 明了 前 一 个 断言 。 
因此 ， 调 用 归纳 假设 ， 我 们 有 
gcd (b™ —1,b" -1)= gcd (b" -1,b0""—1)=be ("m1 
所 以 我 们 应 该 证 明 gcqd(m,n)= gcd(n 一 m,m) : 这 和 证 明 上 一 个 断言 的 思路 是 一 致 的 : 一 方面 ， 
如 果 4d 是 m 入 的 公 因 子 ,那么 4|n-m; 田 一 方面 ,应 用 n=m+(n 一 m) ,如 果 d 是 m 和 nm 
的 公 因 子 ， 那 么 也 4d|n。 全 
推论 ”对 给 定 的 正 整数 b，n 是 一 个 正 整数 ， 如 果 素 数 p 整除 b" -1， 那 么 对 的 因子 4d， 
d<n， 有 p|b”-1, 或 者 p=1modn。 

证 明 如果 p 整除 b” -1, 根据 费 马 小 定理 有 4b?1=1modp， 所 以 p 整除 br -1。 因 此 ， 
根据 引 理 ，p 整除 5 (0 -1 。 加 果 d =gcd(n,p-1))<n， 那 么 4d<n 一 定 是 n 的 正 因子 ， 
并 且 满 足 p14b” -1。 如 果 gced(a,p-D=P， 那 么 apP-1， 也 就 是 说 Pslmodn。 人 

备注 ”后 一 个 推论 说 明 诸 如 5” -1 这 种 数 的 因子 在 形式 上 是 相当 严格 的 。 而 且 ， 对 奇 素 
数 p 和 奇数 n， 由 于 gcd(n,2)=1， 如 果 nlp-1， 那 么 从 2|p--1 我 们 可 以 得 出 2n|p~1， 所 
bp=1mod2n。 


12.3 ”梅森 数 


像 上 面 那样 ， 对 形 如 4b” -1 的 数 的 可 能 素 因子 存在 某 些 限制 ， 由 此 极 大 地 缩短 了 分 解 所 
需 的 时 间 ， 我 们 来 分 解 梅 森 数 2” 一 1 。 

例子 ”分解 127=2’ -1; 由 于 7 是 素数 ， 所 以 根据 推论 可 得 ， 这 个 数 可 能 的 素 因 子 p 必 
须 满足 p=1mod14 。 另 一 方面 ，V127 <12 ， 所 以 我 们 只 需要 尝试 所 有 小 于 12 的 素数 。 但 不 
存在 这 样 的 满足 模 14 同 余 1 的 数 ， 所 以 2 -1 肯定 是 个 素数 。 

备注 ”尽管 通过 手工 的 方式 也 可 以 很 容易 的 检验 出 127 的 素数 性 ， 但 我 们 通过 “抽象 的 
简单 的 思路 ”( 就 是 说 无 需 大 量 计算 ) 能 得 到 的 相同 结果 即 是 个 很 好 的 例证 。 

例子 ”分解 255=2s-1: 指数 是 合 数 会 产生 许多 因子 : 从 2 -1=3 我 们 得 到 3 ， 从 
24 -1=15 =3.5 我 们 得 到 5 。 做 除法 ， 我 们 得 到 

255/(3.5)=17 





是 一 个 素数 ， 所 以 2 -1=3.5.17 。 
例子 ”分解 511=2” -1: 合 数 指数 产生 一 个 因子 2 -1=7，511/7 = 73 是 个 素数 。 所 以 ， 
2? -1=7.73 。 
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例子 ”分解 1023=2" -1: 首先 ， 由 于 指数 是 个 合 数 ， 那 么 这 个 梅森 数 肯 定 是 个 合 
我 们 注意 到 10 的 ( 正 ) 因 子 中 比 10 小 的 数 是 2 和 5 ,所 以 站 -1 有 内 子 3=2 -1 和 31=25 -1。 
其 次 ， 推 论 告诉 我 们 其 他 整除 2 -1 的 素数 必须 模 10 同 余 1。 先 试验 11: 则 有 

1023/11=93=3.31 
因此 
1023 =3.11.31 
当然 ， 由 于 2 -1 有 小 因子 3，1023/3 =341 可 能 已 经 足够 小 了 ， 因 此 可 以 通过 手工 方式 继续 
进行 因数 分 解 。 特 别 是 已 经 知道 了 因子 31=2” -1，341/31=11， 结 果 就 已 经 出 来 了 。 

例子 ”分解 2047=21 -1: 由 于 11 是 个 素数 ， 所 以 没有 任何 “容易 得 出 的 ”因数 。 如 果 
这 个 数 被 证 明 是 素数 , 则 它 是 梅森 素数 。 上 面 的 推论 保证 任何 能 够 整除 2047 的 素数 p 必须 满 
是 p=lmod11。 由 于 p 肯定 是 个 有 奇数 ， 如 上 面 提 到 的 ， 我 们 实际 上 可 以 断定 这 样 的 p 满足 
P=limod22 。 所 以 我 们 试 着 用 23 =22+1 去除 2047 ,得 到 结果 2047/23=89 (由 于 89 <100， 
仅 需 要 试 除 2,3,5,7 ， 说 明 89 是 素数 即 可 )。 由 此 可 得 2047 = 23.89 。 

例子 “分解 4095S=22” -1: 由 于 指数 是 合 数 ,所 以 可 以 很 容易 的 从 @<12 并 且 & 整除 12 求 
出 形 如 2< 一 1 的 因子 。 也 就 是 说 ， 我 们 首先 找到 因子 22-1=3，23 -1=7，24-1=15=3.5， 
和 26_1= 63=32.7。 因 此 ，4095 可 以 被 3 .5.7 整 除 ， 我 们 得 到 | 

4095/(37 .5.7) =13 
所 以 完整 的 因 式 分 解 为 4095 =3? .5.7.13 

例子 ”分解 8191= 2 -1。 由 于 指数 13 是 素数 ， 所 以 没有 明显 的 因子 。 如 果 这 个 数 被 证 
明 是 素数 ， 则 它 是 梅森 素数 。 由 于 V8191 = 90.5 ， 所 以 我 们 只 需要 试 除 小 于 90 的 素数 。 上 面 
的 推论 告诉 我 们 只 需 考虑 素数 p=1mod26 。 首先 ，26+1= 27 不 是 素数 ， 所 以 我 们 不 必 考 虑 。 
其 次 ，2.26+1=53 是 素数 , 但 8191%53 = 29 。 最 后 ，3.26+1= 79 是 案 数 , 但 8191%79 = 54 。 
因此 8191 是 素数 。 

例子 ”分解 16383 =2! -1。 我 们 首先 得 到 22 -1=3 和 27” -1=127 。 我 们 已 经 知道 127 是 
素数 。 所 以 我 们 可 以 将 素 因 子 3 和 127 排除 ， 剩 下 

163831(3.127)= 43 
这 是 一 个 素数 。 

例子 32767=25 -1; 从 23 -1=7 和 25-1=31 中 我 们 得 到 素 因 子 7 和 31。 将 之 去 除 ， 

得 到 

32767 上 7.3D =151 
我 们 可 以 手工 尝试 ， 或 者 应 用 推论 将 案 因 子 p 的 范围 缩小 在 p=lmod30 而 且 还 要 小 于 
V151<13 。 由 于 没有 满足 条 件 的 素数 ， 我 们 可 以 根据 性 质 得 到 151 是 素数 。 因 此 ， 素 因子 分 
解 表达 式 为 25 -1=7.31.151 。 

例子 65535= 2 -1: 根据 27 一 1]=3，24-1=15=3.5 以 及 2 -1=255=3.5.17 ， 我 们 

得 到 素 因 子 3、5 和 17 ， 整 除 后 得 到 
65535/(3.5.17) = 257 
现在 我 们 可 以 应 用 推论 通过 p=1mod16 来 缩小 可 能 存在 的 素 因 子 p 的 范围 。 与 此 同时 ， 
V257 <17 。 没 有 符合 条 件 的 素数 ， 所 以 257 是 素数 ， 素 因 式 分 解 表达 式 为 
2 -1=3.$.17.257 
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例子 “分解 131071=27 -1: 由 于 17 是 素数 ， 所 以 我 们 只 能 通过 p=1mod34 以 及 
p V131071 < 362.038 来 寻找 素 因 子 p 。 首 先 ，34+1= 35 不 是 素数 ; 其 次 ，2.34+1= 69 能 
被 3 整除 , 所 以 不 是 素数 ; 接 下 来 ，3.34+1=103 是 素数 , 但 131071%103 = 55; 4.34+1=137 
是 素数 ， 但 131071%137 =99 ; 5$.34+1=171 能 被 3 整除 ，6.34+1=205 能 被 5 整除 ; 
7.34+1=239 是 素数 (尝试 所 有 小 于 等 于 V239<16 的 素 除 数 2,3,5,71413 ) ， 但 
131071%239 =99 。8.34+1=273 能 被 3 整除 。9.34+1=307 是 素数 (尝试 所 有 小 于 等 于 
V307 <18 的 素 除数 )， 但 131071%307 = 289 。19.34+1=341 能 被 11 整 除 。 由 于 尝试 了 所 有 
小 于 362 的 素数 ， 所 以 131071= 2' -1 肯定 是 个 素数 。 

例子 ”证 明 524287 = 22 -1 是 素数 。 如 果 要 用 最 原始 的 方法 进行 验证 ， 我 们 必须 尝试 所 
有 小 于 等 于 V524287 < 725 的 素数 因子 ， 这 样 做 大 概 需 要 进行 725/2 = 362 次 除法 运算 才能 验 
证 其 素数 性 。 但 如 果 我 们 应 用 引 理 并 且 将 素数 p 的 范围 缩小 在 p=1mod38， 则 只 需要 进行 
725/38 = 19 次 除法 运算 。 

例子 ”分解 8388607 = 223 -1:， 根据 推论 ， 我 们 只 需要 验证 素数 P ，P=limod46 。 而 且 
幸运 的 是 ，47 整除 这 个 数 ， 得 到 8388607/47 =178481 。 如 果 要 证 明 这 是 个 素数 ， 我 们 必须 
验证 所 有 小 于 等 于 V178481 < 422.5 的 素数 。 实 际 只 需要 验证 那些 特殊 的 素数 ， 大 概 需 要 进行 
422/146 = 9 次 除法 运算 ， 而 不 是 纯 运 算 方 法 的 422/2 x 211 次 除法 。 

例子 “分解 536870911= 22 -1: 任何 可 能 的 素 因 子 p 满足 p=1mod58， 并 且 如 果 这 个 
数 不 是 素数 , 那 它 必 定 有 小 于 等 于 V536870911 = 23170 的 因子 。 验证 59,117 (不 是 素数 ), 175 
(不 是 素数 )，233,…, 幸 运 的 看 到 233 整除 536870911 。 得 到 |; 

536870911/233 = 2304167 
后 者 不 能 被 233 整除 。 我 们 知道 如 果 2304167 不 是 素数 ， 那 么 它 存在 小 于 等 于 
V2304617 <1518 的 素 因 子 。 在 经 过 14 次 党 试 之 后 ， 我 们 发 现 素 数 19.58+1=1103 整除 
2304167 。 得 到 2304167/1103 = 2089 。 如果 2089 不 是 素数 , 那么 存在 小 于 等 于 V2089 < 46 的 
素 因 子 ， 但 同时 满足 mod 58 同 余 1。 不 存在 这 样 的 素 因子 ， 所 以 2089 是 素数 。 因 此 ， 
536870911= 233.1103.2089 


12.4 更 多 的 例子 


我 们 继续 给 出 费 马 求解 形 如 如 -1 这 种 数 的 因子 的 更 多 例子 。 

对 每 一 个 3" -1 (n>1) 都 明显 有 一 个 因子 3-1， 所 以 它 不 是 素数 。 但 由 于 我 们 希望 得 
到 整个 素 因 子 分 解 表达 式 ， 或 者 至 少 想 知道 (3” -TD/3 -TD 是 否 是 素数 ， 所 以 这 是 一 个 相当 能 
的 结论 。 费 马 的 技巧 对 实现 上 述 意 图 很 有 帮助 ， 而 且 对 寻找 梅森 数 也 是 有 益 的 。 

已 有 的 结论 告诉 我 们 如 果 素 数 p 整除 六 -1， 那 么 对 dj， 其 中 d&<a， 有 Pi|(4 -1 或 
者 p=1modn。 并 且 当 hn 是 奇数 时 ，p =1mod2n。 因 此 ， 不 太 严 格 地 讲 ， 通 过 考查 n 或 2n 的 
因子 ， 需 要 验证 整除 b” 一 1 的 素数 p 的 个 数 减 少 了 。 

首先 ，32 -1=8=23。 

下 一 步 ，(33 -0/2=26/2=13 。 费 马 的 结论 指出 一 个 素数 整除 -1 而 不 整除 3 -1 应 该 
同 余 lmod2.3=6， 比 如 13 。 

下 一 步 ，34 -1= (32+1(32 -D 我 们 已 经 分 解 了 3? 1。 因子 3*+1 还 是 能 被 2 整除 ， 则 
(3+D/12=5， 这 是 素数 且 同 余 lmod4 。 
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下 一 步 ，3 -1= 242 。 除 去 因子 3-1=2 剩 下 121 。 根 据 费 马 的 结论 ， 任 何 能 够 整除 这 个 
数 的 素数 必定 模 2.5 = 10 同 余 1。 党 试 10+1=11， 我 们 看 到 实际 上 121=11” 。 

下 一 步 ，36 -1=(33 -DG3+D=( -DG3+DG2-3+D0。 除 了 3 -3+1=7 之 外 ， 我 们 已 
经 遇 钊 过 其 他 因子 。 而 且 ， 这 个 素数 模 6 同 余 1。 

下 一 步 ，3” -1= 2186 。 除 去 因子 3-1= 2 剩 下 1093 ， 根 据 费 马 的 结论 ， 我 们 知道 它 的 任 
何 素 因子 必须 是 同 余 1mod2.7=14。 由 于 14+1=15 不 是 素数 ， 所 以 我 们 尝试 除 1093 的 第 一 
个 素数 是 2.14+1= 29 ， 而 且 我 们 看 到 1093%29 = 20 。 因 为 V1093 x 33.06 <34 ， 所 以 我 们 预 
先 就 知道 不 需要 在 大 于 33 的 数 中 寻找 1093 的 因子 ,但 29 是 惟一 小 于 34 并 且 模 14 同 余 1 的 素 
数 ， 所 以 我 们 的 出 结论 ，1093 是 素数 。 

下 一 步 ，3 -1= (34- DG4+D 。 用 因子 3-1=2 除 34+1， 得 到 (34+1D/12 =41。 费 马 的 
结论 保证 任何 不 整除 34-1= 80 =24.5 而 整除 38 一 1 将 模 8 同 余 1, 由 于 小 于 等 于 V41 < 7 的 数 
中 都 不 满足 模 8 同 余 1， 所 以 41 是 素数 (是 的 ， 这 点 我 们 早 就 知道 )。 

下 一 步 ，(3? -1D)(33 -0 =35+33+1=757 。 根 据 费 马 的 结论 ，757 只 可 能 被 模 2.9= 18 同 
余 1 的 素数 整除 。 而 且 ， 如 果 757 不 是 素数 ， 那 么 其 素 因 子 小 于 等 于 V757 < 28 。 这 个 范围 中 
的 惟一 素数 是 18+1=19 ， 但 7$7%19 = 16 ， 所 以 757 是 素数 。 

下 一 步 ，G0 -1])/(35 -])=244 。 除 去 因子 2 ， 剩 下 61。 由 于 没有 能 整除 32-1=8 或 
(3 -D/2=11 的 素 因 子 , 所 以 其 任何 素 因 子 必 须 满足 模 10 同 余 1, 这 样 的 素数 不 满足 小 于 等 
于 V61<8 的 条 件 ， 所 以 61 是 素数 。( 是 的 ， 这 也 是 我 们 知道 的 。) 

下 一 步 ，(31 -1)/2=88 573 任何 整除 它 的 素数 必须 满足 模 22 同 余 1 。 尝 试用 诸如 23 这 
样 的 数 去 整除 3851 。 首 先 ，3851%23 =10 ， 所 以 23 不 整除 3851 。 如 果 3851 不 是 素数 ， 那 它 
就 有 小 于 等 于 V3851 = 62.06 < 63 的 素 因子 ， 下 一 个 候选 者 23+ 22 = 45 不 是 素数 。 再 下 一 个 
45+22 = 67 是 素数 ， 但 这 个 数 太 大 了 。 所 以 ，3851 是 素数 。 

即使 使 用 费 马 的 方法 ， 要 证 明 (3 -1D/2 = 797,161 是 素数 仍 需 要 进行 35 次 除法 尝试 。 通 
过 “手工 ”的 方法 勉强 可 以 接受 ， 不 过 比 起 原来 验证 所 需要 的 400 次 除法 尝试 相 比 ， 这 已 经 
改进 很 多 了 。 

省 略 一 些 步 又 ， 我 们 来 看 35-1 。 商 35-D/A35-D=59 293 的 素 因 子 可 以 整除 
3 -1=2.13 或 者 满足 模 2.15 = 30 同 余 1。 检 验 13 ， 可 以 得 到 59 293/13 = 4561。( 并 且 13 不 
能 整除 4561 。) 这 个 数 仅 有 的 素 因 子 肯 定 模 30 同 余 1 。 而 且 ， 如 果 45$61 不 是 素数 ， 它 必 有 一 
个 小 于 等 于 V4561 x 67.54 < 68 的 因子 。 检 验 31， 我 们 得 到 4561%31= 4 。 检 验 61， 我 们 得 到 
4561%61= 47 。 因 此 ，4561 是 素数 。 
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12.4.01(*) 证 明 如 果 ab 互 素 ， 费 马 的 结论 同样 适用 于 表达 式 o“ -加 。 也 就 是 要 证 明 ， 
如 果 一 个 素数 p 整除 a” ~b"， 那 么 对 n 的 因子 4<n， 有 pla” -6 ， 或 者 p=lmodn。 

12.4.02 应 用 前 面 练习 题 的 结论 ， 对 1 志 n 16 ， 分 解 3 -2”。 

12.4.03 应 用 第 一 个 练习 题 的 结论 ， 对 1 所 n 志 16， 分 解 4” -3”。 

12.4.04 简单 〈 例 如 ， 通 过 简短 的 手工 计算 ) 证 明 15 ~14; = 631 是 素数 。 

12.4.0S 简单 〈 例 如 ， 通 过 简短 的 手工 计算 ) 证 明 1E -105 = 61 051 是 素数 。 

12.4.06 简单 “例如 ， 通 过 简短 的 手工 计算 ) 证 明 242 461=4 -3 的 因子 6553 是 素数 。 
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12.5 ”指数 算法 


进行 指数 运算 最 直接 的 方法 ， 比 如 计算 x”， 就 是 先 计算 x*， 然 后 计算 x =x.x? ， 再 计 
算 x4=x-x，…，x" 二 x.x”1， 这 样 做 效率 很 低 。 在 这 里 我 们 给 出 一 个 非常 简单 但 有 很 大 改 
进 的 方法 ， 这 个 方法 已 经 有 至 少 3000 年 的 历史 。 A 的 指数 运算 关系 密切 。 
这 个 方法 的 思想 是 在 计算 x 时， 将 e 表 示 为 一 个 二 元 整数 
e=e@+@ 2 +e)， 本 ev27 
其 中 每 个 e 等 于 0 或 1， 并 且 通 过 计算 x 方 寡 的 平方 : 
X2 二 和 
xt = (x 
x = (x4)2 
x = (x8)2 


5 4 
Xe 一 (x? ) 


那么 

x 
而 且 ，e 的 值 为 0 或 1， 所 以 实际 上 这 种 记 法 显得 不 够 简洁 ， 可 进行 化 简 ， 如 果 e, =0 ， 忽 略 
x? 项 ， 如 果 e. =1， 包 含 x? 项 。 

下 面 是 一 个 相当 好 的 实现 方法 。 为 了 计算 x*, 我 们 将 利用 三 元 组 (XX,E,Y) ， 其 初始 值 为 
(XX,E,7 了 ) = (ze 。 算 法 步骤 如 下 : 

e 如 果 巨 是 奇数 ， 那 么 用 互 x 了 代替 了 ， 用 巨 ~-1 代 替 五 ; 

e 如 果 巨 是 偶数 ， 那 么 用 卫 xXX 代 蔡 庆 ， 用 E/2 代 蔡 E， 

e 当 E=0 时， 了 的 值 为 x 。 

备注 ”这 个 算法 最 多 需要 21log,E 步 (尽管 如 此 ， 这 个 数字 增长 得 还 是 相当 快 〉。 

对 于 我 们 的 目标 ， 当 结合 模 m 来 进行 约 简 时 ,这 个 很 好 的 快速 指数 算法 就 引起 了 我 们 的 
兴趣 ， 重 写 的 算法 为 计算 x*%m ， 我 们 利用 三 元 组 (X,E,7) ， 其 初始 值 为 (XY,E,Y) = (x,e,l) 。 
算法 步骤 如 下 : 

e 如 果 匹 是 奇数 ， 那 么 用 天 xy%m 代替 了 ， 用 巨 -1 代替 巨 ; 

e 如 果 巨 是 偶数 ， 那 么 用 天 x 无 % 严 代替 和 用 匹 /2 人 代替 巨 ; 

当 思 =0 时， 了 的 值 为 x*%m 。 

而 且 ， 这 个 算法 最 多 需要 2log,E 步 。 当 需 要 模 m 的 指数 运算 时 ， 运算 次 数 总 是 小 于 m? 
的 。 因 此 ， 比 如 计算 

21000%1 000 001 
需要 进行 大 概 2log; 1000 = 2.10 = 20 次 六 位 数 的 乘法 运算 。 通 常 ， 我 们 有 
命题 用 上 述 算 法 计算 *%m 共 使 用 O(logelog* nn) 次 位 运算 。 

例如 ， 如 果 我 们 直接 计算 21% mod89 。 根 据 上 面 的 说 明 ， 我 们 有 

xX E 结果 
2 1000 1 初始 状态 
4 500 1 FE 是 偶数 :计算 并 的 平方 模 89 
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64 


我 们 得 出 结论 
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E 是 偶数 ， 
E 是 偶数 : 
E 是 奇数 : 
E 是 偶数 : 
E 是 偶数 : 
E 是 奇数 : 
E 是 偶数 : 
E 是 奇数 : 
E 是 偶数 ; 
E 是 奇数 : 
E 是 偶数 : 
E 是 奇数 : 
E 是 偶数 : 
E 是 奇数 : 


计算 蕊 的 平方 模 89 
计算 并 的 平方 模 89 
结果 乘 以 了 Y 模 89 
计算 外 的 平方 模 89 
计算 天 的 平方 模 89 
结果 乘 以 X 模 89 
计算 大 的 平方 模 89 
结果 乘 以 了 了 模 89 
计算 XX 的 平方 模 89 
结果 乘 以 了 了 模 89 
计算 对 的 平方 模 89 
结果 乘 以 X 模 89 
计算 的 平方 模 89 
结果 乘 以 元 模 89 


21000%89 = 45 


12.5.01 用 快速 指数 算法 计算 25%1001 。 
12.5.02 用 快速 指数 算法 计算 35%1001 。 
12.5.03 用 快速 指数 算法 计算 25%1003 。 
12.5.04 用 快速 指数 算法 计算 37"%1003 。 
12.5.05 通过 计算 2?7%59 找 出 2mod 59 的 乘法 逆 元 素 。 解 释 为 什么 可 以 这 么 做 。 

12.5.06 通过 计算 757%59 找 出 7mod 59 的 乘法 道 元 素 。 解 释 为 什么 可 以 这 么 做 。 

12.5.07 通过 计算 23519%521 找 出 23mod 521 的 乘法 逆 元 素 。 解 释 为 什么 可 以 这 么 做 。 
12.5.08 通过 计算 29513%521 找 出 29mod 521 的 乘法 逆 元 素 。 解 释 为 什么 可 以 这 么 做 。 


12.5.09 运用 快速 指数 算法 计算 人际 ] 的 第 17 次 宕 。 


12.5.10 估计 通过 快速 指数 算法 计算 21% 所 必需 的 位 运算 的 数量 。 


12.5.11 定义 斐 波 那 契 数 ， 初 始 数 为 古 =0， 古 =1 


关系 式 为 


如 果 令 


通过 归纳 法 证 明 


Fi=Fat+h,, i>l 


| 


0 1 
1 1 


采 12 章 
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12.5.12 利用 上 一 个 练习 题 的 结果 ， 简 单 计算 妃 z%10 (例如 ， 用 手工 计算 )。 


12.6 modp 的 二 次 根 


如 果 一 个 素数 p 满 足 p=3mod4， 那 么 对 一 个 模 素数 p 的 平方 数 求 其 二 次 根 ， 我 们 可 以 
给 出 一 个 公式 。 由 于 我 们 在 指数 运算 方面 已 有 了 一 个 好 的 算法 ， 所 以 这 个 公式 应 该 被 看 做 一 
个 求解 二 次 根 的 好 方法 。 需 要 注意 的 是 ， 只 有 在 素数 模 p 是 同 余 3 模 4 时 才 适 用 ， 而 且 给 定 
的 数 必 须 是 mod p 的 一 个 平方 数 。( 和 否则， 公式 得 出 的 结果 没有 任何 用 处 。) 

定理 ”jp 是 一 个 满足 p =3mod4 的 素数 。 那 么 对 模 p 的 平方 数 ，， 

x=yP 4modp 

是 y 模 p 的 一 个 二 次 根 。 也 就 是 说 ，x? = ymod p 。 这 被 称 为 y 的 主 二 次 根 。 

备注 ”需要 注意 的 是 ， 如 果 y 不 是 模 p 的 平方 数 ， 公 式 所 求 出 的 值 并 不 是 y 模 p 的 二 次 
根 。 而 且 ， 对 p=1mod4 没 有 类 似 的 求 二 次 根 的 简单 公式 可 用 。 

证 明 首先 注意 除非 p=3mod4， 否 则 表达 式 (p+1)/4 不 是 整数 。 假 设 y=x*。 我 们 来 
检验 如 果 z = 2“， 那 么 有 性 质 z? = ymod p 。( 注 意 我 们 并 不 能 断言 z =x ) 那么 

(yO 4 = yp 一 (xz2)C+D72 一 xp+l 一 xP.xl= Xx=y 

根据 费 马 小 定理 我 们 知道 x? = xmodp 。 2 

备注 ”区别 于 这 个 定理 ， 这 个 主 二 次 根 还 可 以 用 另 一 种 形式 表达 ， 素 数 模 p -= 3mod4， 
如 果 y 是 modp 的 一 个 非 零 平方 数 ， 即 x? = ymod p ， 那 么 》 一定 有 两 个 二 次 根 txzmodP ， 
其 中 一 个 modp 的 平方 数 ， 另 一 个 不 是 modp 的 平方 数 。( 这 一 点 不 能 仅 从 其 自身 的 土 号 判 
断 。) 本 身 也 是 平方 数 的 二 次 根 是 主 二 次 根 。 我 们 可 以 给 定 一 个 自身 是 平方 数 的 二 次 根 以 检 
验 定理 中 的 公式 : 假设 x* =ymodp 和 p=4k-1。 那 么 

JPrD14 一 (x? )(44-1+D)/4 = x (zx ) modp 

也 就 是 说 ， 定 理 中 公式 所 求 出 的 主 二 次 根 是 x 模 p 的 平方 。 
习题 

12.6.01 求 2 模 19 的 主 二 次 根 。 

12.6.02 求 6 模 19 的 主 二 次 根 。 

12.6.03 求 2 模 71 的 主 二 次 根 。 

12.6.04 求 50 模 71 的 主 二 次 根 。 

12.6.0S 求 2 模 103 的 主 二 次 根 。 

12.6.06 求 2 模 1039 的 主 二 次 根 。 

12.6.07 求 892 模 1039 的 主 二 次 根 。 

12.6.08 求 3 模 107 的 主 二 次 根 。 

12.6.09 求 9 模 107 的 主 二 次 根 。 

12.6.10 求 4 模 107 的 主 二 次 根 。 

12.6.11 求 2 模 1000 039 的 主 二 次 根 。 
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12.7 modp 的 高 次 根 


概括 以 上 二 次 根 的 各 种 情况 ， 在 特殊 条 件 下 我 们 有 求解 模 p 的 n 次 根 的 公式 。 如 果 存 在 
整数 x， 使 得 x”= ymod p， 那 么 非 零 整 数 y 就 是 模 p 的 n 次 窘 (或 者 ,在 早先 的 术语 中 称 为 
7 次 宕 剩余 ， 如 果 没 有 这 样 的 x ， 那 么 y 称 为 n 次 窘 非 剩 余 )。 

定理 ”假设 p 是 一 个 素数 。 如 果 n 和 pp--1 互 索 ， 那 么 每 一 个 y 都 有 模 p 的 nn 次 根 。 特 别 
的 ， 假设 r 是 n 模 p--1 的 乘法 逆 元 ， 那么 ymodp 的 一 个 n 次 根 为 y’%p 。 

证 明 我 们 来 验证 (y”)”= ymodp 。 如 果 p|y， 则 y=0modp， 这 显然 。 所 以 现在 假设 
P 丰 整除 y。 由 于 rn=1mod pp 一 1， 存 在 正 整 数 ， 使 得 xn=1+L(p-1)， 那 么 

= = = yy p(y ) = =ymodp 
这 里 用 到 了 费 马 小 定理 y?7 =1modp。 4 
已 经 解决 了 gcd(n,p 一 1)=1 的 情况 , -我 们 将 忽略 1< gcd(n,p-1)<n 这 种 情况 ， 而 关注 





gcd(n,p 一 1)=n 这 一 相对 极端 的 情况 ， 当 nn|(p 一 时 ， 只 要 gcdal(n, 2 =1 成 立 ， 我 们 有 一 
个 有 效 的 计算 方法 来 求解 模 素数 p 的 n 次 根 。 





定理 ”假设 p 是 素数 , 是 满足 p=1modn， 而 且 ged(n, 了 一 ) 为 1. 假设 > 是 n 模 (p 一 1)/n 


n 
的 乘法 逆 元 。 如 果 y 是 一 个 n 次 曙 ， 那么 ymodp 的 一 个 n 次 根 是 y”%p 。 


证 明 这 个 命题 的 基本 机 制 与 前 面 定 理 的 证 明 一 样 ， 有 些 复杂 。 首 先 我 们 来 验证 
(y)=ymodp。 由 于 ply， 所 以 y=0modp ， 这 显然 。 所 以 现在 假设 p 不 整除 y。 由 于 
rm=1mod(p -1)/n， 和 存在 正 整 数 ， 使 得 rn=1+L(p 一 1)/n。 而 且 ， 由 于 我 们 假设 y 有 一 个 n 
次 根 ， 所 以 我 们 将 y 表达 为 y=x”mod p 。 那 么 


(py )” 一 ((x") )" 二 无 中间 一 
= xXx" .xP I) = x. :=x”"= ymod p 

这 里 用 到 了 费 马 小 定理 的 结果 y?7 =1modp。 3 

备注 ”如果 yp 不 是 一 个 n 次 军 ， 那 么 后 一 个 定理 中 的 公式 就 不 成 立 。 当 然 ， 在 计算 之 前 
并 没有 必要 知道 y 是 否 是 一 个 nn 次 究 。 更 合适 的 是 , 应 用 这 个 公式 , 然后 检验 这 个 结果 的 nn 次 
大 是 否 是 了 》。 如 果 是 ， 那 么 就 是 一 个 于 次 过 ， 如 果 不 是 》， 那 么 了 就 不 是 一 个 灵 次 罕 。 

备注 如 果 ged(m 2—) >1, 那么 根 的 计算 将 变 得 更 复杂 。 

备注 注意 在 上 述 两 个 定理 中 针对 两 种 不 同情 况 求 n 次 根 的 两 个 公式 之 间 的 区 别 ， 这 一 
点 很 重要 。 一 旦 出 现 混淆 将 产生 没有 意义 的 结果 。 


习题 
12.7.01 求 2 模 101 的 一 个 立方 根 。 


12.7.02 求 46 模 101 的 一 个 立方 根 。 
12.7.03 求 97 模 101 的 一 个 立方 根 。 


nl+ 2-9) 
n 


~ x" .x{(P-1) 
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12.7.04 求 14 模 103 的 一 个 立方 根 。 
12.7.05 求 61 模 103 的 一 个 立方 根 。 
12.7.06 求 2 模 101 的 一 个 11 次 根 。 

12.7.07 求 58 模 199 的 一 个 11 次 根 。 





现在 ， 我 们 可 以 利用 模 数 是 素数 的 情况 将 一 些 问题 化 简 ， 从 而 计算 模 数 是 合 数 的 情况 。 
对 此 的 一 个 重要 应 用 就 是 理解 Z/n 结构 ， 这 个 结构 中 的 区 别 在 于 n 是否 是 素数 。 这 一 点 关系 
到 素性 检验 、 因 式 分 解 攻击 以 及 对 许多 公 钥 密码 总 体 安全 性 的 理解 。 

这 种 计算 中 一 个 值得 关注 的 特性 将 出 现在 平方 根 oracle 一 节 中 。 我 们 将 看 到 对 于 两 个 模 
4 同 余 3 的 素数 p,qg ， 大 整数 ”是 它们 的 乘积 ， 可 以 在 给 定 〈 概 率 的 ) 算法 下 通过 寻找 modn 
的 二 次 根来 求解 的 因子 p,q 。 也 就 是 说 ， 平 方 根 oracle 可 以 应 用 于 获得 特定 的 因 式 分 解 。 

本 节 的 一 些 证 明 是 不 完整 的 ， 这 是 因为 它们 依赖 于 模 素数 的 本 原 根 的 存在 性 ， 其 存在 性 
我 们 将 稍 后 证 明 。 但 是 ， 这 些 结果 却 阐明 了 它 与 其 后 一 些 更 抽象 结论 之 间 的 相关 性 。 

作为 费 马 的 天 才 继承 者 ， 欧 拉 系 统 地 发 展 了 费 马 在 数论 领域 的 成 果 及 其 应 用 。 正 如 可 从 
名 称 所 猜测 到 的 欧 拉 定理 , 还 有 用 来 获取 modm 的 次 根 的 欧 拉 判别 准则 ,都 要 归功 于 欧 拉 。 


13.1 孙子 定理 


孙子 定理 (Sun Ze's Theorem) 有 时 被 称 为 中 国 剩余 定理 ， 这 主要 是 因为 这 个 结果 最 早 
(由 孙子 以 及 孙子 之 后 的 学 者 发 现 ) 是 在 中 国 获得 的 。 孙子 的 结果 是 在 公元 前 450 年 得 到 的 ， 
以 下 的 论述 是 秦 九 韶 于 1250 年 获得 的 。 事 实 上 通过 相同 的 证 明 ， 这 个 结论 可 以 应 用 于 比 整 
数 忆 更 普遍 的 “ 数 ”。 

假设 m,,…,m， 是 非 零 整 数 ， 且 使 得 对 任意 的 指标 对 i,j7， 如 果 i 7 ， 则 m; 和 mj 是 
互 素 的 。 我 们 就 称 整数 m, 是 两 两 互 素 的 。 如 果 

乙 1/1ixZ11yx:Xx /Fn 
(通常 》 表 示 n 元 有 序数 组 集合 ， 其 中 第 i 个 元 素 属于 世 /m;。 
通过 





f(x—-mod—(m…m,))=(x-mod-m,x—-mod- m2,,x— mod-m,) 
定义 一 个 映射 
fiZAm Em) > ZZ/mxZ/m, x xZ/m, 
定理 〈 和 孙子 ) ”mi,…,m, 两 两 孔 素 ， 映 射 
fiZAm Em) ZZ/mxXZ/m, XXX/ Pi 
是 一 一 映射 ( 双 射 )。 
证 明 首先 ， 我们 考虑 只 有 两 个 互 素 的 模 数 m,n 的 情况 ， 通 过 
f(x-mod-mn)=(x-mod—-m,x— mod—n) 
得 到 相应 的 映射 
fi:iZ/m > ZZ/mxZ/n 
是 一 一 映射 。 首 先 ， 我 们 证 明 这 个 映射 是 单 射 : 如 果 f(x)= f(y) ， 而 且 x=ymodm ， 
X=ymodn。 也 就 是 说 ，m|x-y，n|x-y。 由 于 m,n 是 互 素 的 ， 可 以 得 到 mn|x 一 y， 所 以 
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X=ymodmn.。 
从 这 点 来 说 ， 因 为 Z/mn 和 ZZ/mxZ/n 是 有 相同 元 素 个 数 ( 也 就 是 mn ) 的 有 限 集 ， 任 
何 单 射 间 时 也 是 满 射 。 所 以 我 们 可 以 得 出 结论 ，/ 是 满 射 ‘因此 是 一 一 映射 )。 
但 对 满 射 性 质 做 进一步 的 研究 是 有 必要 的 。 因 为 m,n 互 素 ， 就 存在 整数 s,t ， 使 得 
sm+tn=1 
(如 果 和 需要 的 话 ， 我 们 可 以 通过 欧 几 里 得 算法 计算 出 s,t， 但 现在 还 不 需要 这 样 做 )。 然 后 我 
们 对 给 定 的 整数 a 和。， 
fl(b(sm)+ altn)) -mod- mn}=(a—-mod— m,b ~ mod—n) 
当然 ， 
b(sm)+altn)=b(sm)+a(ll~— sm)=amodm 
同样 的 ， 
b(sm)+ a(ltn)=b( -tn)+a(tn)=bmodn 
这 就 证 明了 在 两 个 模 数 的 情况 下 ， 函 数 了 的 满 射 性 ， 因 此 也 就 是 一 一 映射 。 
现在 我 们 考虑 以 任意 的 m1 ,……, m , (两 两 互 素 ) 为 模 的 情况 。 我 们 对 闻 进行 归纳 ， 我 们 
已 经 证 明了 ”= 2 的 情况 ， 如 果 n=1， 结 论 是 显然 的 。 所 以 假设 n>2 。 通 过 对 进行 归纳 ， 
由 
fo(x—-mod—m,.…m,)=(x—-mod—m,,x— mod—m;,……,xX— mod— m,) 
定义 的 映射 
万 :1]112 em FT/m; XT/ mx Xx/m, 
是 一 个 一 一 映射 。 因 此 由 
fi(x—-mod-—m,x~— mod— m,.…m,) 


=(x—mod-—m,x—-mod—m,,x—mod—m;,…, x —mod— m,) 


定义 的 出 身 
fiZImxT/ mm FLIm XT/m; xT/m xxD/m, 
是 一 一 映射 。 
与 此 同时 ， 根 据 因 式 分 解 的 惟一 性 ，mm 和 乘积 mm;…m, 是 互 素 的 ， 所 以 ， 当 n=2 时 ， 
由 
p(x—-mod-m(m, mm,))= (x mod-m,x—mod- m,:….m,) 
定义 的 映射 


fm mm Lm LD/ mm 


是 一 一 映射 。 所 以 ， 复 合 映 射 


f=f°f 
也 是 一 一 映射 的 。 全 


习题 


13.1.01 证 明 x=2mod6 且 x=3mod4 无 解 。 
13.1.02 证 明 x=2mod6 且 x=0mod4 有 解 。 
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13.2 ”特殊 方程 组 


现在 ， 我们 按照 同时 求解 几 个 同 余 式 的 方式 来 解释 上 一 节 的 定理 。 这 和 线性 方程 组 的 初 
步 讨 论 虽 有 一 些 类 似 之 处 ， 却 有 着 关键 性 的 区 别 。 
在 开始 之 前 ， 我 们 来 考查 如 下 形式 的 最 小 非 平 凡 方程 组 
Xx=amodm 
[ee 





其 中 m,n 互 素 ，a,b 是 任意 丈 数 ， 我 们 要 找 出 所 有 满足 这 个 条 件 的 整数 x 。 
注意 到 这 里 有 两 个 同 余 式 却 只 有 一 个 未 知 数 ， 这 在 等 式 的 情况 下 可 能 很 容易 就 判断 解 是 
不 存在 的 。 但 在 同 余 方程 组 中 就 有 少许 区 别 ， 简 化 条 件 是 ; 我 们 只 考虑 模 m 和 nn 是 互 素 的 情 
况 ， 也 就 是 说 ， gcd(m,n)=1。 
再 次 使 用 欧 几 里 得 算法 ， 由 于 我 们 假设 gcd(m,n)=1， 可 以 得 到 整数 s,t 使 得 
sm+tn=] 
我 们 可 以 对 上 式 重新 进行 整理 ， 例 如 
tn=1— sm 
这 里 我 们 就 发 现 了 一 个 窃 门 ， 单 个 同 余 式 
Xo = a(tn)+b(sm)mod mn 
和 上 面 的 同 余 式 方程 组 是 等 价 的 《有 相同 的 解 集 )。 
我 们 来 检验 一 下 : 对 模 m ， 我 们 有 
Xo = (a(tn)+ b(sm)) mod m= a(tn)+ 0modm 
=a(tn)mod m=al(ll— sm)modm 
=a(ll}modm=amodm 
对 同 余 模 的 讨论 是 一 样 的 。 我 们 可 以 这 样 做 : 
xo =(a(tn)+b(sm))modn=0+b(sm)modn 
=b(sm)modn=b(l—tn)modn 
=b()modn=bmodn 
因此 ， 任 何 满足 模 mn 这 个 条 件 的 x 都 是 方程 组 的 解 。 
男 一 方面 ， 假 设 x 是 方程 组 的 解 ， 我 们 证 明 x 和 x 模 mn 同 余 。 由 于 x=aamod m 
和 x= bmod n ， 我 们 有 
x—Xxo=a-a=0modm 
以 及 
xXx-X0=b-b=s0modn 
也 就 是 说 ，m 和 nn 痢 整除 x-x。。 由 于 m 和 nn 是 互 素 的 ， 我 们 可 以 得 出 结论 ，mn 整除 x 一 xo。 
注意 到 为 了 提高 计算 效率 〔 不 仅仅 是 理论 上 可 行 的 )， 上 述 整 个 求解 过 程 以 及 解 的 表示 
公式 都 使 用 了 欧 几 里 德 算法 。 
例如 ， 我 们 解 方程 组 
x=2modll 
人 7mod13 
为 了 将 这 两 个 同 余 式 结合 在 一 起 ， 我 们 对 11 和 13 使 囊 欧 几 里 得 算法 ， 可 得 
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6.11-5.13=1 

因此 ， 利 用 己 有 的 烦琐 公式 ， 单 个 同 余 式 
X=2(-5:13)+7(6:11)mod11:13 
和 给 出 的 方程 组 是 等 价 的 。 特 别 的 ， 这 给 出 了 解 
X=-2.:5.:13+7:6.:11=332mod11:13 
更 一 般 地 ， 考 虑 一 个 方程 组 
x=b modm, 
xX=b, modm, 


X=bs modm, 


x=b, modm, 
我 们 只 考虑 mj 和 mj 互 素 的 情况 (其 中 iz j))。 我们 分 几 个 步 又 来 解答 首先 ， 只 考虑 子 方程 
组 
x=b modm, 
{ =b, mod m, 
并 且 用 上 面 的 方法 将 方程 组 变 为 一 个 〈 等 价 的 ) 同 余 式 ， 形 式 是 
XE CI mod mim, 
然后 考虑 方程 组 
X=c, mod mim, 
[ = b, mod my 
再 次 用 上 面 的 方法 将 方程 组 转化 为 一 个 等 价 的 同 余 式 ， 即 
X = cj mod mm2m3 
依 此 类 推 。 
备注 ”的确 ， 这 个 过 程 只 是 对 前 一 节 定 理 证 明 的 一 个 解释 。 . 
对 这 些 形式 特殊 的 线性 同 余 方 程 组 ， 对 其 求解 方法 可 以 用 一 个 概念 上 更 清晰 的 方式 予以 
描述 。 
定理 ”假设 m,…,m, 是 两 两 互 素 的 整数 ， 考 虑 同 余 方 程 组 
X=b modm, 
x=b, modm, 
x 三 bh modm, 


x=b, modm, 
我 们 假设 M 是 m,…,m, 的 乘积 , 即 M =m…m, 并 假设 MM,=M/m,。 如 果 T = M7 modm; (由 
于 假设 中 Mi; 和 mm 互 素 ， 所 以 这 是 存在 的 )， 则 
x= 了 MD+…+T MP modM 
是 这 个 方程 组 模 M 的 惟一 解 。 
证 明 ”我们 证 明 后 一 个 公式 ， 对 所 有 的 i， 求 解 x=b,modm;。 当 然 , 车 jzi，m,|M,， 
所 以 
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TM bj;=T,:0:b,=0modm, 对 jzi 
并 且 
TM, =1imodm., 
也 就 是 说 , 除了 第 i 项 外 ,其 他 所 有 直 和 项 模 m, 为 0, 第 i 项 模 m, 为 6b;。 因 此 , 对 所 有 的 i， 
这 个 表达 式 给 出 了 模 m, 的 一 个 解 。 这 个 方程 组 中 模 M 解 的 惟一 性 已 经 在 孙子 定理 中 证 明 ， 
至 此 证 明 完 成 。 全 


习题 


13.2.01 求 一 个 整数 x， 使 得 x=lmod12 且 x=1lmod35。 
13.2.02 求 一 个 整数 x， 使 得 x=lmod13 且 x=1mod36。 
13.2.03 求 一 个 整数 x， 使 得 x=lmod12 且 x=8mod35。 
13.2.04 求 一 个 整数 x， 使 得 x=5mod12 且 x=19mod35。 
13.2.05 求 一 个 整数 x， 使 得 x=0mod12 且 x=lmod35 。 
13.2.06 求 一 个 整数 x， 使 得 x=1lmod12 且 x=0mod35。 
13.2.07 求 一 个 整数 x， 使 得 x=5mod48 且 x=3mod35。 


13.3” 模 是 合 数 的 同 余 方 程 


通常 ， 在 求解 诸如 x? =bmodm 这 类 模 m = mim,〈 其 中 ml 和 m, 是 互 素 的 ) 为 合 数 的 同 
余 式 时 ， 分 别 求解 模 m 和 模 m, 的 同 余 式 ， 然 后 再 应 用 孙子 定理 将 它们 合并 为 模 m 的 解 ， 这 
样 要 比 直接 求解 模 m 的 解 要 快 一 些 。 如 果 m 的 素数 分 解 是 已 知 的 ， 这 一 点 就 更 为 明显 。 

例如 ， 我 们 手工 求解 方程 

x =-lmod13:17:29 

(由 于 我 们 并 不 希望 手工 求 取 所 有 13.17.29 = 6409 因数 的 可 能 性 , 所 以 用 穷 举 法 是 不 可 
取 的 )。 通 过 观察 孙子 定理 可 以 断言 ， 满 足 刀 = -lmod6409 的 模 6409 整数 x 的 集合 同 三 元 组 
集合 (x,x,,*%3 ) 存在 一 一 对 应 关系 ， 其 中 x eZ/13，x, eZ/117，x3eZ/29， 并且 

对 = -lmod13 x2 =~lmod17 邓 =-lmod29 
这 里 的 一 一 映射 是 

x-mod—6409— (x~-mod-13,x—-mod—17,x—mod-29) 
而 且 ， 上 面 的 讨论 揭示 了 在 其 他 方面 应 该 怎么 做 ， 也 就 是 说 ， 怎 样 由 Z/13xZ/17xZ/29 中 
解 得 到 原来 方程 的 解 。 

在 这 个 例子 中 ，13、17、29 这 些 数字 并 不 是 很 大 ， 对 -1 模 13、17 和 29 的 平方 根 进行 
穷 举 求 取 也 并 不 需要 很 长 的 时 间 。 让 我 们 摘 述 一 下 在 模 29 的 情况 下 的 查找 过 程 。 首 先 ， 
-1=28mod29 ， 但 28 不 是 一 个 平方 数 。 下 一 步 ， 给 28 加 29: 57 不 是 平方 数 。 给 57 加 29: 
86 不 是 平方 数 。 给 86 加 29 : 115 不 是 平方 数 。 给 115 加 29 : 144 =12” .因此 , +12 是 -lmod29 
的 平方 根 。 类 似 的 ， 我 们 发 现 +5 是 -1mod13 的 平方 根 ，+4 是 -1mod17 的 平方 根 。 

为 了 利用 孙子 定理 从 这 几 个 结果 中 得 到 模 6409 =13.17.29 的 一 个 解 , 我 们 首先 要 求 整数 
sf,3.13+1.17=1。 有 关 最 大 公 因子 的 理论 结果 保证 存在 这 样 的 sz， 并且 可 以 利用 欧 几 里 得 
算法 求 出 : 

17-1.13=4 
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13-3.4=1 


1=13-3.4 
=13-3.(7-1.13) 
=4.13—3.17 
因此 ， 从 一 ! 模 13 的 平方 根 5 和 -1 模 17 的 平方 根 4 ， 我 们 可 以 得 到 -1 模 13.17 的 平方 根 : 
4.(4.13)-5.(G3.177)= -47mod13.17 
继续 下 去 ， 现 在 我 们 要 求 5,:， 使 得 
s:(13.:17)+t.29=1 
应 用 欧 几 里 得 算法 ， 注 意 到 13.17 = 221: 
221-7.29=18 
29-1.18=11 
18-1.11=7 
11-1.7=4 
7-1.4=3 
4-1.3=1 
反 过 来 ， 我 们 得 到 
1=4-1.3 
=4-1:(7~1.4) 
=2.4-1.7 
=2.(11-7)-7 
=2.11-3.7 
=2.11-3.(48-10 
=5.11-3.18 
=5.(29-18)—3.18 
=5.29-8.18 
=5.29-8(221-7.29) 
=61.29-8.221 
所 以 ， 从 -1 模 221 的 平方 根 -47 以 及 -1 模 29 的 平方 根 12 ， 我 们 得 到 平方 根 
12(-8.220D+(-47)(61.29) = -104359 =4594 mod 6409 
而 且 , 由 于 我 们 在 前 面 的 步骤 中 已 经 得 到 了 sr 在 求解 其 他 -1 模 13.17.29 的 七 个 平方 根 ， 
以 土 过程 中 最 烦琐 的 部 分 就 不 再 重复 了 。 


习题 

13.3.01 求 一 个 整数 x， 使 得 3x=2mod5 且 4x=5mod7。 

13.3.02 求 一 个 整数 x， 使 得 7x=11lmod5 有 目 3x=22mod35。 

13.3.03 求 模 5.7 互 不 相同 的 四 个 整数 , 使 得 x? =1mod5 且 x? =1mod7 。 也 就 是 说 , 求 1 
模 35 的 4 个 不 同 的 平方 根 。 

13.3.04 求 模 7.11 互 不 相同 的 四 个 整数 ， 使 得 x* =1mod7 且 x?=1mod11。 也 就 是 说 ， 


龙 合 数 朱 检 177 


求 1 模 77 的 4 个 不 同 的 平方 根 。 

13.3.05 求 模 13.17 互 不 相同 的 四 个 整数 ， 使 得 x* =1mod13 且 x*=1mod17 。 也 就 是 说 ， 
求 1 模 221 的 4 个 不 同 的 平方 根 。 

13.3.06 求 2 模 7.23 的 四 个 不 同 的 平方 根 。 

13.3.07 解释 为 什么 1 模 3.5.7=105 有 八 个 不 同 的 平方 根 。 


13.4 享 泽 尔 引 理 


在 许多 情况 下 ， 当 p 为 素数 时 ， 求 解 多 项 式 方程 f(x) = 0mod p 能 够 保证 模 p 的 窘 p” 存 
在 解 ， 而 且 也 可 以 有 效 的 求 得 这 些 解 。 除 此 之 外 ， 有 趣 的 是 整个 求解 过 程 与 在 微 积分 中 牛顿 
对 根 的 数值 逼近 方法 非常 类 似 。 特 别 要 提 的 是 ， 我 们 将 通过 纯粹 的 泰勒 展 开 式 的 代数 形式 来 
证 明 这 个 结果 。 

首先 ， 我 们 给 出 一 个 数值 的 例子 来 说 明 享 泽 尔 〈Hesel) 引 理 所 包含 的 思想 。 假 设 我 们 和 希 
望 找到 满足 x* = 2mod7; 的 x。 注 意 到 mod7 的 一 个 解 一 定 也 是 mod7 的 一 个 解 ， 我 们 通过 
求 mod7 的 一 个 解 开 始 。 由 于 在 Z/7 中 只 有 7 个 元 素 ， 所 以 这 更 容易 些 ， 通 过 快速 不 断 地 试 
验 我 们 看 到 (+3)” =9=2mod7 。 

现在 我 们 给 出 更 进一步 的 求解 方法 : 作为 一 个 乐观 主义 者 ， 我 们 设想 可 以 通过 向 其 增加 

(或 减少 ) 7 的 倍数 ， 简单 地 调整 3mod7 的 解 以 获得 一 个 mod7 的 解 。 也 就 是 说 ,我 们 设想 
对 某 个 yeZ 
(3+7:y)} =2mod49 
展开 ， 我 们 得 到 
9+2ly+49y* =2mod49 
令 人 高 兴 的 是 ， 由 于 其 系数 被 49 所 整除 ，y 项 消失 了 〔 模 49 )。 重 新 整理 可 得 
7+42y=0mod49 
用 7 去 除 这 个 式 子 则 有 
1+6y=0mod7 
由 于 yy 的 系数 (也 就 是 6 ) 模 7 是 可 逆 的 ， 所 以 我 们 可 求 得 y=(671X(-])=6.(-])=1lmod7 的 
解 。 因 此 ， 
3+7.1=10 

是 一 个 2 模 7? 的 平方 根 。 

继续 进行 乐观 估计 : 为 了 得 到 7 的 解 ， 现 在 我 们 希望 可 以 通过 增加 7? 的 倍数 来 调整 

10mod7? 的 解 。 也 就 是 说 ， 我 们 希望 找到 这 样 的 y， 使 得 

(10+72y) =2mod7’ 
展开 并 化 简 ， 得 到 

294y=-98mod7’ 
用 ?7 去除 这 个 式 子 

67 = 三 -2mod7 

6mod7 的 道 还 是 6， 所 以 

y=6(-2)=2mod7 
因此 
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10+72.2=108 
满足 
108 = 2mod7’ 
这 比 使 用 穷 举 法 直接 求解 2mod7; 的 平方 根 要 快 的 多 。 
为 给 亨 泽 尔 引 理 更 一 般 的 结论 做 准备 ， 我 们 需要 对 多 项 式 的 导数 给 出 一 个 纯 代 数 的 描 
述 。 也 就 是 说 ， 我 们 并 不 希望 对 需要 的 定义 做 任何 限定 。 假 设 
f(x)= csx” + +co 
其 系数 属于 Z。 简 单 的 定义 另 一 个 多 项 式 了 为 
fx)=ncsx” +(n—l)e, ix +…+2cx+o+0 


备注 “当然 ， 如 果 将 这 个 导数 定义 为 一 个 极限 ， 可 以 用 我 们 已 知 “ 正 确 ”的 公式 来 定义 


n-2 


它 。 
命题 对 系数 属于 Z 的 多 项 式 f,g ， 使 用 导数 定义 的 纯 代数 形式 ， 对 reZ ， 我 们 有 
(xf) = rf (常数 乘法 法 则 ) 
(f +g) = +g” (加 法 法 则 ) 
(fg) = fg+fg' (乘法 法 则 ) 
(fog) = f'。g:g  ( 链 式 法 则 ) . 
证 明 尽管 在 此 我 们 没有 提 到 极限 ， 但 通过 微 积 分 我 们 知道 这 些 结论 是 正确 的 。 全 
定理 〈 疗 泽 尔 引 理 ) ”假设 了 是 一 个 多 项 式 ， 其 系数 属于 艺 。p 是 一 个 素数 ， 如 果 对 
x, EZ 满足 
f (x)= 0mod p” 
其 中 n>0。 假设 f'(x,)z0modp。 令 "(x1) 1 是 一 个 整数 ， 并 且 是 六 xm) 模 p 的 乘法 逆 元 。 
那么 
wn = x f(x) f(r)! 
满足 
f (xs)= 0mod p"™" 
而 且 ， 从 这 个 构造 中 可 得 
Xn = x mod p” 
特别 的 ， 对 每 一 个 指标 ， 
x,=xmodp 

备注 ”注意 到 Po) modp 这 个 数 在 迭代 的 每 个 循环 中 并 不 需要 重复 计算 , 只 需要 在 开 
始 时 计算 一 次 就 可 以 了 。 

证 明 首先， 我 们 验证 如 果 j 了 的 系数 为 整数 ， 那 么 对 每 个 正 整 数 上 ， 商 F /已 的 系数 为 
整数 ， 其 中 A 是 也 的 天 阶 导数 。 证 明 这 一 点 只 需要 考查 f(x) = x” 就 足够 了 ， 因 为 每 个 整数 
系数 多 项 式 都 是 这 种 形式 多 项 式 的 一 个 倍数 的 和 在 这 种 情况 下 ， /ou -于 
是 作为 (x+])" 的 系数 ， 而 (x+1)" 的 系数 是 整数 ， 这 就 证 明了 我 们 的 结论 。 

现在 我 们 差不多 可 以 证 明 这 个 定理 了 。 假设 y7= 一 /xx)mod p”"!。 注 意 到 这 个 表 


达 式 使 用 了 f(x,) 1 mod p" 来 奉 代 f'(x1)"'mod p 。 我 们 不 得 不 从 最 后 返回 来 考虑 这 个 调整 。 
我 们 有 y=0mod z”。 由 于 了 是 多 项 式 ， 所 以 其 任意 一 点 的 泰 勘 展开 式 都 是 有 限 的 ， 并 
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且 收 化 于 了。 因此 


(3 
ft = f+ Sy :LC yp 2 + 地 人 e+ 


(这 个 和 是 有 限 的 !) 每 个 AQO(x )/a 都 是 整数 ， 而 且 p*” 整除 y?,y;,y4,…， 所 以 
pn 闲 除 刀 Co 0%) y? Co) y+ 


3! 
通过 前 面 y 的 定义 来 替换 这 里 的 y， 我 们 有 


/0m) + Le),- fe) + ff (x)) 


由 于 广 (x,) 是 了 (x) 模 p 的 一 个 乘法 逆 元 ， 则 存在 ， 使 得 
f (x1) f(x) =1+p 


LE) 


那么 
fx, )+ Ly ) 


= fC) + 0) Fo Con)") 


= f(x)- f(x) +p)= f(x) 


因为 f(x,,)=0mod p”， 我 们 已 经 得 到 p 的 另 一 个 因子 ， 也 就 是 模 p”! 为 0。 

而 且 , 关于 定理 的 最 后 一 个 结论 , 注意 到 我 们 利用 x, 求 x,,l 时 用 到 的 f(x,)/ 了 (x,) 是 p” 
的 倍数 。 

最 后 ， 我 们 需要 验证 

fF xa) = fn)f Co) mod p"" 
其 中 了 (x1)" 只 是 modp 的 逆 元 ， 而 不 是 mod pz1 的 道 元 。 由 于 x, =x mod p ， 而 且 了 的 系 
数 是 整数 ， 所 以 不 难 验证 
f (x)=f (nm)modp 
因此 
f (x) =f (mn) modp 
进一步 ， 通 过 p” 整除 f(x, ) 的 假设 ， 给 上 式 左右 两 边 都 乘 以 f(x,) 则 得 到 
fxn)f Kn) = ff (rn) mod 已 : 书 " 

这 就 证 明了 我 们 不 需要 计算 f(x,)"1 mod p”"*， 而 只 需要 计算 "(x1)-! 的 结论 。 和 a 

备注 ”我们 可 以 给 出 微分 公式 的 纯 代 数 证 明 并 且 通 过 其 泰勒 展开 式 表 示 多 项 式 ， 不 过 这 
些 在 后 面 可 以 用 更 一 般 的 方法 做 到 ， 所 以 在 这 里 我 们 仅 限 于 基于 微 积分 的 讨论 。 


习题 
13.4.01 通过 亨 泽 尔 引 理 求解 V2 mod 75 。 


13.4.02 通过 享 泽 尔 引 理 求 解 V5 mod115 。 
13.4.03 通过 享 泽 尔 引 理 求解 V3mod115 。 
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13.4.04 通过 亨 泽 尔 引 理 求解 V-1mod 5 。 
13.4.05 通过 亨 泽 尔 引 理 求解 -1 mod133 。 
13.4.06(*) 讨论 不 能 利用 二 次 公式 来 求解 方程 x? + x+1= 0mod 2 的 原因 。 


13.5 ”平方根 oracle 


我 们 知道 ，oracle 是 指 可 以 回答 某 类 问题 的 “ 黑 盒 子 ”， 尽管 我 们 并 不 需要 知道 他 是 怎样 
工作 的 。 这 个 “oracle” 的 思想 在 讨论 许多 有 关上 其 有 相对 复杂 性 和 可 行 性 的 计算 问题 时 是 重要 
的 抽象 概念 ， 很 自然 它 就 会 与 有 关 密 码 安 全 性 的 问题 联系 在 一 起 ， 而 这 些 密码 的 安全 则 依赖 
不 同 问题 的 难度 。 这 里 我 们 将 考虑 一 个 特殊 但 很 具 代 表 性 的 oracle。 

定理 设 p,q 是 两 个 模 4 同 余 3 的 大 素数 ，n = pg ， 则 一 个 可 以 求解 模 n (并 不 知道 其 
因子 p 和 9 ) 的 平方 根 的 oracle 可 以 用 来 获得 一 个 求解 n 的 素 央 子 p,q 的 概率 算法 。 

备注 例如 ，RSA 体制 中 的 模 数 就 是 这 样 的 结构 。 

备注 当然， 我 们 希望 看 到 这 个 算法 的 具体 内 容 是 什么 ， 而 不 是 仅仅 知道 它 是 存在 的 。 
因此 ， 这 个 定理 的 证 明 包 括 算法 的 描述 。 

假设 我 们 得 到 了 上 面 的 x= pq, 并 且 我 们 有 一 个 寻找 模 n 平 方 根 的 oracle, 但 并 不 知道 
的 因子 p 和 9 。 我 们 重复 下 面 的 步骤 ， 随 机 选取 一 x ， 计 算 x*%n 并 将 结果 输入 oracle， 就 会 
得 到 一 个 x 模 n 的 平方 根 y。 

因为 任何 模 素数 的 非 零 平方 恰好 有 两 个 平方 根 ， 根 据 孙 子 定 理 ， 任 何 模 n= Pd 的 平方 都 
有 4 个 平方 根 ，+x 是 其 中 的 两 个 。 设 另外 两 个 是 +x 。 假 设 最 初 x 的 选取 是 完全 “随机 的 ” 
那么 oracle 得 到 的 y 是 x 的 概率 为 1/2 。 如 果 得 到 的 不 是 tx ， 则 nn 不 整除 x+y 《因为 
ytxmodn )， 但 n 整 除 x?-y*〔 因 为 x? =y?modn )。 所 以 p 整除 x 土 y 中 的 一 个 并 且 g 整 
除 另 一 个 。 因 此 ged(x 一 y,n) 是 p 或 gq 我 们 并 不 关心 是 哪 一 个 )。 这 就 完成 了 对 概率 算法 单 
独 一 步 的 描述 。 

因为 oracle 可 以 被 反复 调用 , 每 次 调用 都 以 1/2 的 概率 获得 一 个 因 式 分 解 . 所 以 在 4 次 调 
用 oracle 后 我 们 得 到 因 式 分 解 的 概率 是 (1/2}Y ， 随 着 4 的 无 限 增 大 ， 这 个 概率 迅速 趋 近 于 0 。 
例如 ，10 次 调用 才 得 到 因 式 分 解 的 概率 是 

prob(10 次 调用 )=(1/2)" = 0.001 
这 一 般 是 不 可 能 的 。 

实际 上 ， 在 获得 n 的 因 式 分 解 之 前 ， 我 们 可 以 计算 期 望 调用 oracle 的 次 数 ， 第 一 次 调用 
得 到 因 式 分 解 的 概率 是 1/2 。 第 一 次 尝试 失败 的 概率 是 1/2， 并 且 第 二 次 尝试 成 功 的 概率 是 
1/2， 所 以 需要 两 次 调用 的 概率 是 1/4。 类 似 的 ， 两 次 都 失败 的 概率 是 (1/2)? 并 且 在 第 三 次 尝 
试 成 功 的 概率 是 112， 所 以 需要 三 次 调用 的 概率 是 1/8 。 通 常 地 ， 前 *-1 次 都 失败 而 在 第 nn 次 
成 功 得 到 一 个 因 式 分 解 的 概率 是 (1/2)”。 所 以 期 望 调用 oracle 的 次 数 是 


期 望 调用 oracle 的 次 数 = mn.G/2)" 
m=] 
我 们 可 以 通过 生成 函数 计算 这 个 式 子 ， 因 为 
x nx 
dx 


所 以 在 使 用 生成 函数 时 , “通常 ” 考 虑 
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oO 


f (0)= nx 


n=1 


我 们 注意 到 和 为 
/0) =2 E> 
对 几何 级 数 进行 求 和 为 
Sr = (因为 jx < DT 
全 1l—x 
我 们 最 终 得 到 


ad 1 Xx 
二 让 :一 一 一 二 

1-x (l-x) 
当 x=1/2 时 ， 计 算得 到 Ad/2)=2 ， 所 以 得 到 因 式 分 解 所 需要 调用 oracle 的 次 数 是 2 。 

例子 ”我 们 设 p=103 和 gq =107 都 模 4 同 余 3，n= pg=11021 。 我 们 需要 用 到 的 oracle 
并 不 神秘 ， 通 过 从 费 马 小 定理 中 导出 的 公式 ， 将 利用 p 和 gq 的 信息 来 计算 模 n 的 主 平方 根 ， 
然后 利用 孙子 定理 将 它们 组 合 。 要 建立 一 个 oracle， 可 以 通过 猜测 加 检验 的 方法 ， 或 者 通过 
欧 几 里 得 算法 ， 我 们 发 现 





(-27).103+(26).107 =1 
oracle 将 通过 公式 
ymod p 的 平方 根 = yz 4 mod p= y* mod103 
ymod g 的 平方 根 = 7 modgq = y” mod107 
计算 ymodp 和 ymodg 的 〈 主 ) 平方 根 。 然 后 用 下 面 的 公式 将 这 两 个 结果 组 合 
?modm 的 平方 根 = -27.y* .103+26: y** .107mod11021 
(当然 ， 在 计算 这 些 方 寒 时 我 们 可 以 随时 根据 需要 利用 模 数 11021 进 行 约 简 )。 
在 利用 概率 算法 尝试 分 解 n 时， 需要 选取 一 个 “随机 ”整数 x :; 我 们 令 x=50。 然 后 将 
50? = 2500 输入 到 oracle 中 ， 这 将 得 到 
—27.(2500)* .103+26.(2500)* .107mod11021 = 2625mod11021 
根据 oracle 的 输出 ， 我 们 利用 欧 几 里 得 算法 来 求 相 应 的 最 大 公 因 子 gcd(2625 -50 11021): 
11 021-4.2575 = 721 
2575-3.721= 412 
721-1.412 =309 
412—1.309=103 
309-3.103=0 
所 以 我 们 注意 右边 最 后 一 个 非 零 数 ， 也 就 是 103 ， 它 确实 是 11021 的 一 个 因子 。 在 这 个 例子 
中 的 oracle 使 得 我 们 可 以 仅 用 一 次 尝试 就 得 到 了 一 个 正确 的 因子 。 


习题 
13.5.01(*) 如 果 p,q,r 是 互 不 相同 的 素数 ，n = par ， 并 且 我 们 有 一 个 求解 模 n 平 方 根 的 


oracle， 你 是 否 可 以 利用 这 个 oracle 求 得 一 个 分 解 n 的 概率 算法 ? 
13.5.02(*) 设 p 和 gq 同 余 4mod9 的 两 个 “秘密 ”素数 ， 并 设 n= p.q 。 假 设 我 们 有 一 个 
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求 modn 立方 根 的 oracle。 是 否 可 以 利用 这 个 oracle 求 得 一 个 分 解 n 的 概率 算法 ? 
13.6 ” 欧 拉 定理 


在 这 里 ， 我 们 给 出 欧 拉 定 理 ， 它 是 对 费 马 小 定理 的 推广 。 欧 拉 定 理 的 巧妙 证 明 最 好 可 作 
为 基础 群 论 的 一 个 推论 给 出 ， 但 在 这 里 我 们 还 是 只 给 出 一 个 更 简单 的 证 明 (解释 少 些 )。 

对 于 正 整 数 上 ， 欧 拉 函 数 gln) 是 指 满足 如 下 条 件 的 整数 5b 的 个 数 : 0<b5<n 且 
gcd(b,n)=1。 

定理 〈 欧 拉 ) 对 于 和 正 整 数 n 互 素 的 x， 

Xe =1modn 

备注 ”对 于 素数 p， 我们 可 以 容易 得 到 g(p)= pp 一 1， 所 以 n 是 素数 这 一 特殊 情况 就 是 费 
蕊 小 定理 。 

证 明 设 G 是 所 有 模 z” 有 乘法 逆 元 的 整数 的 集合 。 首 先 我 们 注意 乘积 

已 = [sg = c 中 所 有 元 素 的 乘 内 
geG 
仍然 属于 G。 当 然 , 设 g1,82,…,g, 是 G 中 的 所 有 元 素 ， 所 以 已 = gjg，… g,。 那 么 我 都 应 该 
知道 P= gg，… g, 的 逆 元 就 是 每 个 因子 逆 元 的 乘积 〈 并 且 顺 序 颠 倒 ): 
(gg "81) (8 87 81 )=1modn 

也 就 是 说 ， 尽 管 我 们 难以 将 它 确定 出 来 ， 但 PP 确实 有 一 个 模 n 乘法 逆 元 。 

设 x 是 G 一 元 素 。 则 我 们 将 映射 :G 下 G 定义 为 

f(g8)=x8 

这 是 G 到 自身 的 一 个 双 射 。 首先 , 我 们 要 验证 了 将 G 映射 到 自身 ， 当然， 对 模 n 可 逆 的 元 素 
XxX 和 gg， 








(xg)(g x!)=1modn 
所 以 f(g)=xg 是 G 中 元 素 。 其 次 ， 验 证 单 射 性 : 如 果 f(g)= 了 (h)， 则 由 了 /的 定义 我 们 有 
xg =Xxhmodn 。 等 式 左右 同 乘 以 xz modn， 得 到 g =hmodn， 这 就 证 明了 单 射 性 。 最后， 证 
明 满 射 性 : 对 给 定 ge G , 我 们 能 找到 he G 使 得 /(h)=g 。 就 是 说 , 能 找到 heG 使 得 xh=g， 
所 以 h=x'g 是 存在 的 。 这 就 证 明了 双 射 性 。 
最 后 ， 我 们 进行 讨论 的 计算 部 分 。 还 是 设 P 为 G 中 所 有 元 素 的 乘积 ， 则 


P=[[s=[[rce) 


geG geG 
由 于 映射 了 只 是 将 G 中 的 元 素 重新 混合 。 则 
P=[1/@®=Tlxe=x*" Ilse=*"".P 
geG geG geG 
其 中 p(n) 是 指 n 的 欧 拉 函数 。 正 如 上 面 所 证 明 的 ， 因 为 P 是 模 n 可 北 的 ， 所 以 在 等 式 左右 同 
乘 以 P-1modn 可 以 得 到 
1=x”" modn 

这 就 证 明了 网 拉 定 理 。 全 

备注 一 方面 ， 这 里 的 讨论 暗示 存在 一 个 更 系统 的 通用 方法 。 另 一 方面 ， 存 在 其 他 同样 
重要 的 技术 ， 而 定理 的 简单 证 明 中 没有 给 出 任何 暗示 。 
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习题 


13.6.01 根据 定义 ， 求 9g(30)，wg(15) 和 gp(24)。 
13.6.02 根据 定义 ， 求 9(36)，9g(18) 和 wp(28) 。 
13.6.03 通过 直接 计算 ， 验 证 2 不 是 模 17 的 原 根 ， 但 3 是 。 


13.7 原 根 的 性 质 


在 这 一 市 中 我 们 将 简单 的 解释 一 个 原 根 是 什么 样子 的 ， 并 给 出 儿 个 事实 。 模 素数 原 根 的 
存在 性 将 于 下 面 用 来 证 明 是 否 存 在 模 素数 的 平方 根 (或 n 次 根 ) 的 欧 拉 标 准 。 对 原 根 存在 性 
(以 及 不 存在 性 〉 的 证 明 需 要 更 多 的 准备 。 

设 n 是 正 整数 ， 整 数 g 是 一 个 模 闫 的 原 根 ， 如 果 使 得 g“ =1modz 成 立 的 最 小 正 整 数 和 是 
p(n)。 

注意 到 欧 拉 定理 保证 在 任何 情况 下 ， 跟 n 互 素 的 整数 g 其 指数 《不 会 大 于 g(n)， 这 是 必 
要 的 。 

对 “大 多 数 ” 整 数 n 来 说 ， 没 有 模 n 的 原 根 。 关 于 何 时 存在 或 者 不 存在 模 n 的 原 根 更 准 
确 的 陈述 是 

定理 ”存在 模 n 原 根 的 整数 总 是 具有 如 下 形式 : 

e n=p*，p 是 奇 素数 ， 且 ee 之 1; 

© n=2p°,， p 是 奇 素数 ， 且 e 之 1; 

e@ n=2,4。 

这 将 在 稍 后 证 明 。 特 别 要 提 的 是 ， 最 重要 的 一 点 是 确实 存在 模 素 数 的 原 根 。 

理解 有 关 原 根 如 下 一 个 重要 性 质 是 很 有 帮助 的 : 

命题 设 g8 是 模 2 的 一 个 原 根 ， 整 数 和 满足 g“ =Imodz ， 则 ooD)12 。 

证 明 根据 除法 性 质 ， 我 们 令 f=g.g(W)+r， 其 中 0 才 < p(n)。 则 

1 = 8 = PA = (g”")? ‘g =1 .8g7 = g” modn 

因为 g 是 一 个 原 根 ，g(n) 是 使 得 g 模 nn 为 1 的 最 小 指数 。 因 此 ， 由 于 1= g”modn， 所 以 一 定 
有 7r=0 。 也 就 是 oajlz 。 全 


习题 


13.7.01 证 明 2 不 是 模 23 的 原 根 。 

13.7.02 证 明 3 不 是 模 23 的 原 根 。 

13.7.03 已 知 2 不 是 模 23 的 原 根 ， 证 明 4 不 是 模 23 的 原 根 。 
13.7.04 根据 定义 ， 计算 p(11)。 

13.7.05 根据 定义 ， 计 算 gp(13)。 

13.7.06 根据 定义 ， 计 算 wp(10) 。 

13.7.07 根据 定义 ， 计 算 p(12) 。 

13.7.08 根据 定义 ， 计 算 p(14) 。 

13.7.09 根据 定义 ， 计 算 p(24) 。 

13.7.10 根据 定义 ， 计 算 p(10D 。 
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13.7.11 根据 定义 ， 计 算 wo(103) 。 
13.8 欧 拉 判 别 准则 


这 个 判别 准则 可 以 有 效 地 判断 当 p=1modn 时 , 整数 是否 是 模 素数 p 的 nn 次 根 , 相反 地 ， 
我 们 已 经 看 到 当 gcd(n,p -1)=1 时 ， 所 有 的 数 都 是 模 素数 p 的 n 次 根 。 对 平方 根 的 情况 可 以 进 
行 更 多 的 讨论 ， 这 在 其 后 二 次 符号 和 二 次 互 反 定理 的 讨论 中 非常 重要 。( 这 里 假设 我 们 熟知 快 
速 指数 算法 。) 为 了 证 明 欧 拉 判 别 准 则 ， 我 们 必须 承认 模 素 数 原 根 的 存在 性 ， 这 将 在 稍 后 证 明 。 
对 给 定 的 y，y 模 m (m 不 一 定 是 素数 ) 的 平方 根 是 指 存在 整数 x， 使 得 
x =ymodm 
如 果 有 这 样 的 x 存在 , 则 yy 是 模 m 的 一 个 平方 , 或 者 在 以 前 的 术语 中 称 为 模 m 的 二 次 剩 
余 。 如 果 不 存在 这 样 的 x， 则 y 是 模 m 的 一 个 非 平方 ， 或 者 称 为 模 m 的 二 次 非 剩 余 。 
备注 ”和 乘法 逆 元 一 样 ， 可 能 存在 于 实数 或 复数 中 的 这 些 平方 根 之 间 本 质 上 没有 必然 的 
联系 。 因此， 表达 式 “VYy ”或 “y?” 对 yeZ/m 没 有 本 质 区 别 。 
例子 因为 2 =4=-lmod5， 所 以 2 是 -1 模 5 的 一 个 平方 根 。 我 们 记 作 
2= VY_1mod5 
注意 ， 实 数 中 不 存在 -1 的 平方 根 这 一 事实 跟 -1 模 5 平 方 根 的 存在 性 并 不 矛盾 。 
例子 ”因为 4:=16=5modll ， 所 以 
4=V5modll 
例子 不 存在 满足 V2 模 5 的 数 ， 为 了 证 实 这 一 点 ， 我 们 计算 如 下 5 种 情况 : 
02=0#2mod5 
1 =1 关 2mod5S 
22=4z 上 2mod5 
3*=9=4x2mod5 
4 =16=1#2mod5 
因为 Z/5 是 由 5 个 同 余 类 0,1,2,3,4 所 组 成 , 所 以 我 们 不 需要 更 多 的 检验 就 可 以 通过 穷 举 知 
道 2 模 5 的 平方 根 。 
从 简单 的 角度 来 看 ， 似 乎 只 有 通过 穷 举 才能 验证 是 否 存在 y 模 m 的 平方 根 ， 将 Z/m 中 
的 每 个 元 素平 方 ， 看 是 否 和 y 相等 。 从 这 个 角度 看 ， 因 为 Z/m 中 所 有 元 素 都 要 试 一 遍 ， 所 以 
要 确定 一 个 数 有 没有 平方 根 是 非常 费力 的 。 在 这 里 ， 费 马 小 定理 (连同 快速 指数 算法 ) 提供 
了 一 些 便利 ， 但 目前 我 们 只 能 证 明 下 面 定 理 的 一 半 。 
非 零 数 y 模 p 是 模 p 的 一 个 n 次 宪 ( 或 者 在 以 前 的 术语 中 称 为 n 次 剩余 ), 如 果 存在 x 使 
得 x”=ymod p。( 如 果 不 存在 这 样 的 x， 则 称 y 是 次 非 剩余 。) 
定理 〈 欧 拉 判 别 准 则 ) 设 疡 为 素数 ， ps=slmodn。 设 与 疡 互 素 ， 则 当 且 仅 当 
Jslmodp 时 ，y 是 modp 的 n 次 窜 。 作 为 一 个 特殊 情况 ， 若 jp 是 奇 素数 ， 且 p 不 整除 
yy， 则 当 且 仅 当 yw =1modp 时 ，y 是 modp 的 一 个 非 零 平 方 。 
备注 ”这 是 对 不 是 模 p 的 平方 的 一 个 合理 的 测试 。 很 明显 ， 欧 拉 是 三 百年 前 第 一 个 观察 
到 这 一 点 的 人 。 后 来 ， 二 次 互 反 律 给 出 了 测试 是 否 存在 模 p 的 平方 的 另 一 个 机 制 。n 次 寡 准 
则 不 存在 简单 的 替代 物 。 
证 明 容易 部 分 : 设 y=x”modp。 则 根据 费 马 小 定理 ， 
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yn = PD/ =x"! =1modp 

复杂 部 分 : 现在 假设 y?? ”=1modp， 证 明 y 是 modp 的 n 次 暴 。 设 g 是 一 个 模 p 本 原 
根 ，2 是 一 个 整数 ，g“ = y。 我 们 有 

(g JP ”=1modp 
从 前 面 对 本 原 根 的 讨论 ， 我 们 知道 
(p-DI{:(p-D/n 
(因为 当 P 为 素数 时 wp(P)=P-1)。 根 据 普通 整数 分 解 的 惟一 性 ， 发 生 这 种 情况 的 惟一 可 能 
就 是 6 被 n 整除 ， 就 是 存在 整数 k， 使 得 6 = kn 。 则 
y=g8 =g8"=(g’) modp 
也 就 是 说 了 是 入 的 请 次 窜 。 和 
推论 〈 欧 拉 判 别 准 则 ) ” 设 p 是 奇 素数 ，y 和 互 素 ， 则 
yD2=1mod p 如 果 y 是 mod p 的 平方 
或 者 
Xp = -imod pP 如 果 y 是 mod p 的 非 平方 

证 明 需要 证 明 的 是 ， 如果 y 是 一 个 非 平方 则 yD 了 ?=-1modp 。 根 据 费 马 小 定理 有 

yomD =1modp ， 一 定 有 

OxXe-D'2)2 = lmod p 
也 就 是 说 ，y(??? mod 满足 x? =1mod p ， 并 且 不 等 于 1。 可 以 肯定 一 1 是 =1modp 的 另 
一 个 解 。 如 果 我 们 能 证 明 这 个 方程 除了 +1 外 没有 其 他 的 解 ， 那 就 证 明了 结论 。 假 设 x 是 满足 
x =1modp 的 个 整数 ， 则 根据 定义 ，p|(x-D(x+])。 

我 们 回想 一 下 ， 如 果 p 是 素数 且 plab， 则 有 pla 或 p15。 重 温 一 下 其 中 的 原因 是 有 好 
处 的 :假设 plab 但 p 不 整除 a， 月 标 是 证 明 plb。 设 ab=kp， 因 为 p 是 素数 ， 所 以 
gcd(a, p) =1， 则 存在 整数 s,t 使 得 sp+ta=1。 那 么 

b=b:l=b:.(sp+ta)=bsp+tab=bsp+thkp= p:(bs+tk) 
因此 有 plb。 

所 以 ， 如 果 pl|Gc-DCc+D ， 则 有 pl(xz-1D 或 者 |1(xz+D ， 也 就 是 说 x=+lmodP 。 这 就 
完成 了 当 且 仅 当 ” ( 且 和 jp 互 素 ) 是 modp 的 非 平方 时 ， yz = -lmodz 的 证 明 。 2 


习题 


13.8.01 2 是 模 101 的 平方 吗 ? 
13.8.02 14 是 模 101 的 平方 吗 ? 
13.8.03 69 是 模 101 的 平方 吗 ? 
13.8.04 2 是 模 109 的 平方 吗 ? 
13.8.05 5 是 模 109 的 立方 吗 ? 
13.8.06 69 是 模 109 的 立方 吗 ? 
13.8.07 2 是 模 109 的 立方 吗 ? 
13.8.08 68 是 模 109 的 立方 吗 ? 
13.8.09 105 是 模 1009 的 144 次 宕 吗 ? 





14.1 ” 弱 乘 法 性 的 定义 


许多 在 数论 中 出 现 的 函数 以 及 数学 的 其 他 部 分 都 有 一 个 特性 ， 该 特性 被 称 为 弱 乘 法 性 
(下面 定 义 )。 这 个 思想 借用 自身 以 简化 许多 计算 和 证 明 。 作 为 一 个 特殊 和 重要 的 例子 ， 我 
们 将 证 明 根据 n 的 素数 分 解 来 计算 欧 拉 函数 p(n) 的 公式 。 

设 厂 是 关于 正 整数 的 一 个 函数 。 这 个 函数 可 以 是 复数 值 的 ， 也 可 以 是 简单 整数 值 的: 取 
值 的 类 型 并 不 重要 。 这 种 函数 具有 乘法 性 ， 如 果 总 是 有 

f (mn)= f(m): f(n) 
这 被 证 明 是 一 个 强 条 件 ， 在 数论 中 出 现 的 问题 中 应 用 起 来 也 太 严 格 ， 尽 管 这 个 条 件 就 其 本 自 
而 言 是 重要 的 。 因 此 ， 我 们 将 这 个 条 件 减弱 ， 称 f 具有 弱 乘 法 性 ， 如 果 
f mn) = Fo fn) m,n 互 素 
值得 注意 的 是 由 于 m=1 和 n=1 是 互 素 的 ， 所 以 弱 乘 法 性 函数 /对 1 的 值 f1Q) 是 0 或 1， 
我 们 计算 
f0)= f(D)= f(D: AD 
所 以 f(1) 是 方程 
X=x? 
的 一 个 解 ， 它 的 解 只 有 0,1 。( 这 个 讨论 将 弱 乘 法 性 函数 的 取 值 应 用 于 整数 、 有 理 数 、 实 数 或 
复数 。 大 多 数 的 特殊 值 应 用 起 来 需要 对 结论 作 修改 。) 

最 标准 的 〈 相 当 基 础 的 ) 弱 乘 法 性 函数 族 〈 不 是 真正 的 乘法 性 ) 是 因子 方 桔 和 的 函数 

oo(n)=so(n)=n 的 正 因 子 个 数 

o1(n)=s1(n) =n 的 正 因子 的 和 

O(n)=si(n)=n 的 正 因子 的 Kk 次 暴 的 和 
《实际 上 ， 指 标 庆 可 以 是 任何 复数 。) 

s 有 弱 乘 法 性 的 证 明 依 束 于 整数 的 惟一 因子 分 解 。 设 m,n 互 素 。 关 键 问 题 在 于 ， 由 于 因 
子 分 解 惟一 性 以 及 m 和 nn 是 互 素 的 ， 所 以 乘积 mn 的 每 个 正 因 子 分 别 是 m 的 正 因子 4d 和 的 
正 因子 e 的 乘积 de ， 而 且 可 以 惟一 的 表述 为 这 种 形式 。 所 以 

si (mn) = DD’ = > (de) 一 dd De* = Sr) s(n) 
Dimn,D>0 dlm,eln,d,e>0 dimd>0 elme>0 


另 一 个 重要 的 弱 乘法 性 函数 是 黑 比 乌 斯 函数 内， 定义 为 
-|C04 如 果 p 有 4 个 互 不 相同 的 素 因子 
0 如 果 n 有 平方 因子 
弱 滋 法 性 是 惟一 因子 分 解 的 一 个 结果 。 
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欧 拉 函数 是 一 个 比较 精巧 的 例子 : 
2(00= 和 7 互 素 的 整数 ;的 个 数 并 且 0 < i<<n 
命题 ” 欧 拉 函 数 有 弱 乘 法 性 。 也 就 是 说 ， 对 gcd(m,n)=1 有 
pmn)= PCD(P) 

证 明 根据 gcd 理论 方面 的 定义 ， 因 为 从 表达 式 ay+bm =1 我 们 看 到 a 是 整数 y 模 m 的 

一 个 乘法 逆 元 ， 所 以 ， 当 且 仅 当 gcd(y,m) =1，y 有 一 个 模 m 的 乘法 道 元 。 因 此 ， 
2(00=Z/m 中 有 乘法 逆 元 的 元 素 个 数 
而 且 ，y 模 m 是 乘法 可 首 的 意思 是 同 余 式 
Xxy= lmodm 

有 人 解 。 孙 子 定理 说 明 当 m=mim, 将 m 分解 为 两 个 互 素 的 因子 mm 时，xy=1modm 的 可 解 
性 等 价 于 同 余 方 程 组 





xy=1modm, 
:i lmod m, 
的 可 解 性 。 由 于 glm) 和 plm,) 分别 是 上 述 两 个 方程 分 别 在 Z/m 和 也 /my 解 的 个 数 ， 所 以 我 
们 有 
pmm2) = (m1) plm,) 

其 中 四 和 m, 是 互 素 的 。 . 

推论 设 pi< p,<…< pi 是 素数 并 且 e@|,e,,….,ek 是 正 整 数 。 则 

Gp" pk)=(P -DPCp -Dpoe (pr -Dp 

证 明 ”因为 我 们 知道 具有 弱 乘 法 性 ， 只 要 证 明 对 素数 p 和 正 整 数 e， 如 下 等 式 成 立即 

可 
p(p)=(p-Dp™ 
在 这 种 情况 下 ， 9(P?) 就 是 所 有 满足 0< Lp* 且 和 pp 互 素 的 整数 《的 个 数 。 由 于 p 是 素数 ， 
这 意味 着 p 不 整除 + 。 计 算 这 个 范围 中 能 被 p 整除 的 整数 4 的 数量 是 容易 的 ， 其 中 有 1/p 个 
能 被 p 整除 ， 所 以 总 数 就 为 p*/p 。 因 此 ， 除 去 这 部 分 可 得 
p(p)=p -p/p=p:p -p=(p-Dp” 

这 就 证 明了 我 们 的 结论 。 全 
习题 

14.1.01 计算 1000 的 正 因子 的 个 数 。 

14.1.02 计算 999 =3.3.3.37 的 正 因子 的 个 数 。 

14.1.03 计算 1000 的 正 因子 的 和 。 

14.1.04 计算 999 =3.3.3.37 的 正 因子 的 和 。 

14.1.05 计算 1 000 000 因子 的 平方 和 。 

14.1.06 计算 101% 的 因子 的 个 数 。 


14.2 算术 卷 积 


这 里 我 们 关注 一 个 问题 ， 即 由 一 个 简单 的 弱 乘 法 性 函数 来 构造 出 一 个 更 复杂 的 弱 乘 法 性 
函数 。 这 种 〈 算 术 ) 卷 积 在 数论 中 经 常 出 现 。 
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命题 设 / 是 一 个 关于 正 整数 的 弱 乘法 性 函数 。 定 义 男 一 个 函数 下 为 
F(m= > jd) 


din.d>0 
则 到 同样 具有 弱 乘 法 性 。 
证 明 设 m,n 互 素 ， 则 
Flmn)= Df(D= Y fae 
Dimn,D>0 dlm,d>0,eln,e>0 
因为 mn 的 正 因 子 可 以 惟一 的 表示 为 乘积 de ， 其 中 4 是 mm 的 正 因 子 ，e 是 nn 的 正 因 子 。 由 于 
gcd(m,n)=1， 则 4 和 e 肯 定 是 互 素 的 。 所 以 ，f(de)= f(qd)f(e) 并 且 
de) = f(d)f(e) = >» f (qd) >》， f(e)=F(m):F(n) 


adim,d>0 eln,e>0 
这 就 证 明了 命题 。 4 
上 面 这 个 命题 的 构造 是 一 个 由 已 知 的 弱 乘 法 性 函数 得 到 新 弱 乘 法 性 函数 的 标准 过 程 。 对 
上 述 构造 过 程 的 一 般 化 就 是 卷 积 : 
命题 设 / 和 g 是 关于 正 整 数 的 弱 乘 法 性 函数 ， 定 义 另 一 个 函数 眉 ， 有 时 也 称 为 上 和 8 


的 算术 卷 积 
Fm= 》， /oes | 


dln,d>0 
则 FF 同样 具有 弱 乘 法 性 。 
证 明 设 m,n 互 素 则 


Fl(mn)= > /Ds 并 ]- > fearosl 加 | 
Dimn.D>0 dimd>0.elne>0 ed 
因为 mn 的 正 因子 可 以 惟一 的 表示 为 乘积 de ， 其 中 4 是 m 的 正 因 子 ，e 是 的 正 因子 。 而 且 
由 于 m 和 7 是 互 素 的 , 那么 m/d 和 n/e 互 素 。 由 gcd(m,n)=1, 则 4 和 e 肯 定 是 互 素 的 。 因此 ， 
f(de)= f(d)f(e) 是 g(mn/de)=g(m/d)g(n/e)。 所 以 ，F(mn) 的 表达 式 变 为 

= fl(d)g(m/d) Df (eeln/e)=F(m): Fn) 


dlIm,d>0 eln,e>0 
这 就 证 明了 命题 。 和 
备注 第 一 个 命题 是 第 二 个 命题 当 g(n)=1 时 (对 所 有 的 nx) 的 一 个 特殊 情况 ,第 二 个 命 
题 不仅 具 有 弱 乘 法 性 ， 而 且 还 有 普通 乘法 性 。 
习题 
14.2.01 设 f(n) 表 示 n 的 正 因 子 的 数量 ，g(n) 表示 nn 的 正 因 子 的 和 。 设 
h(n)= >》 f(a)g(n/d) 
Oxdin 
(4d 的 范围 是 n 的 所 有 正 因 子 )， 计 算 h(1000)。 
14.2.02(*) 你 是 否 能 对 上 个 练习 中 的 函数 有 进行 更 基本 或 直观 的 表达 ? 
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14.3” 墨 比 乌 斯 反 演 


这 里 的 墨 比 乌 斯 反 演 公 式 是 一 个 特殊 类 型 的 公式 ， 它 在 整个 初等 数论 中 也 是 容易 得 出 
的 。 其 他 形式 的 墨 比 乌 斯 反 演 则 贯穿 于 数学 的 各 个 方面 。 我 们 将 它 用 于 证 明 在 稍 后 非常 有 用 
的 欧 拉 函数 的 特殊 性 质 。 请 记 住 J(n) 表示 的 墨 比 乌 斯 《M6bius》 函 数 。 
定理 设 是 关于 正 整 数 的 弱 乘 法 函数 ， 并 且 
F(m= Df(d) 


din,d>0 
则 


f(m= > pad] 


dln,d>0 


对 称 地 ， 如 果 我 们 设 
GOD= > 1] 


dln.d>0 

则 我 们 有 
fm)= >》G(d) 
dln,d>0 

证 明 首先 考虑 对 的 结论 , 通过 将 表达 式 看 做 /(n) 在 任何 情况 下 都 是 和 的 卷 积 ， 
可 以 将 之 简化 。 利 用 上 面 的 结果 ， 因 为 / 具有 弱 乘 法 性 ， 所 以 第 一 个 式 子 中 的 己 具 有 弱 乘 法 
性 而 且 由 于 上 具有 弱 乘 法 性 , 则 FF 和 的 卷 积 也 具有 弱 乘 法 性 。 所 以 要 证 明 玉 和 的 卷 积 等 
于 弱 乘 法 性 函数 / 只 需要 考虑 n= p' 的 情况 ， 其 中 p 是 素数 且 e 非 负 整 数 。 最 简单 的 情况 是 

FD= > /oO=/O 


dll,da>0 





并 且 
> P| =FOAD)=F0)= /0) 


dll,d>0 
所 以 我 们 已 经 证 明了 n=1 时 关于 FF 的 结论 。 
做 了 足够 的 简化 后 开始 计算 : 设 e 是 正 整 数 ，p 是 素数 : 


> red 人 = YF(p YAp™) 


dip ,d>0 Qsise 


1 e—i=0 
HP 和 )=1-1 e-i=! 


0 e 一 [>1] 


根据 其 定义 ， 


因此 ， 对 i 的 值 求 和 实际 只 有 两 个 值 i=e-1 和 i=e， 而 且 整 个 式 子 进一步 简化 为 


i ei j ei |-F(p)+F(p’) e>0 
F = SF = 
FP YAp™) Lr -fi ,0 


现在 根据 定义 用 了 代替 外: 
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=- D/OD+ > 7d) 


dlpe,d>0 dlpe,d>0 
现在 注意 到 在 第 二 项 和 式 中 ， 没 有 被 第 一 项 和 式 消 去 的 部 分 具有 qd = p* 这 一 项 。 所以， 也 就 
是 说 
-F(p)+F(p)=- > jdOD+ > Gd)=ACP) 
- 可 pe !',d>0 dlp’,d>0 
这 证 明了 两 个 弱 乘 法 性 函数 对 素数 的 方 寡 p* 成 立 ， 所 以 对 其 他 情况 同样 成 立 。 
对 于 G ， 这 个 讨论 除了 在 某 些 细节 上 有 区 别 外 都 是 类 似 的 ， 所 以 我 们 也 给 出 证 明 过 程 。 
跟前 面 一 样 ， 由 于 了 和 6G 都 具有 弱 乘 法 性 ， 还 有 G 是 上 和 的 卷 积 。 同 样 的 ， 函 数 
H(n)= 》G(d) 
din,d>0 
具有 弱 乘 法 性 。 为 了 证 明 两 个 弱 乘 法 性 函数 媚 和 .是 相等 的 ， 只 需要 证 明 对 素数 方 朝 它们 是 
相同 的 即 可 。 设 疡 是 素数 且 e 是 非 负 整数 ， 则 


Gp)= Ef)= fp up™) 


dlp*,d>0 0<ise 
除非 e 一 的 值 为 0 或 1， 否则 记得 到 的 值 为 0 ， 所 以 也 就 是 说 
os _Jf(p)-f(p”) e>0 
G 一 
1 名 <-0 
则 
H(p)= 2GO=GO+ > GD)=GO+2GOD=AOD+ >》(CD-ACp) 
dlp’,d>0 dlp ,d>l lsise lsise 
=fD+FP- AD Pp) -PD ++ (fp) -fp™)= Ap9) 
至 此 定理 得 证 。 . 
推论 对 正 整 数 x， 欧 拉 函 数 满足 
D0(0)=n 
dind>0 


证 明 注意 到 关于 正 整 数 的 函数 /(n) =n 有 弱 乘 法 性 。 根 据 墨 比 乌 斯 反 演 ， 这 个 推论 的 


结论 等 价 于 
9m)= 》， ss 


din,d>0 
而 且 ， 根据 所 知道 的 弱 乘 法 性 质 ， 只 需要 证 明 后 一 个 等 式 在 n= p" 的 情况 即 可 ， 其 中 p 是 素 
数 且 ee 是正 整数 (n=1 的 情况 可 以 直接 验证 )。 也 就 是 说 ， 我 们 希望 验证 
9(p)= >》 APDAP 和 一) 
Osise 
同 前 面 一 样 ， 除 非 e-i 的 值 为 0 或 1， 否 则 jy(p“)=0， 所 以 这 可 以 简化 为 
pp )=f(p)-f(p  )=p—p" 
当然 ，p* 是 满足 0<f< p* 的 整数 4 的 数量 ， 并 且 p" 是 这 个 范围 内 能 被 p 整除 的 的 数量 ， 
所 以 它们 的 差 就 是 与 p 互 素 的 & 的 数量 。 这 就 证 明了 推论 。 中 
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习题 
14.3.01 设 4/ 是 墨 比 乌 斯 函数 ， 计 算 1(100) 。 
14.3.02 设 / 是 如 比 乌 斯 函数 ， 计 算 yu(144) 。 
14.3.03 设 j 是 矿 比 乌 斯 函数 ， 计 算 (35)。 
14.3.04 设 j4 是 墨 比 马 斯 苑 数 ， 计 算 1(105) 。 
14.3.05 设 / 是 黑 比 乌 斯 函数 ， 计 算 A1 000 000)。 
14.3.06 设 4 是 墨 比 乌 斯 函数 ， 计 算 Ad) 的 和 ，d 取 遍 102 所 有 正 因子 。 





这 里 有 关 “ 二 次 符号 ”的 快速 计算 算法 是 许多 算法 的 基础 。 也 许 第 二 重要 的 要 称 欧 几 里 
得 算法 了 ， 这 是 我 们 所 拥有 的 另 一 个 好 算法 。 重 要 的 是 ， 注 意 在 判定 给 定 的 整数 5b 是 否 模 素 
数 p 的 平方 时 ， 这 里 介绍 的 算法 要 比 欧 拉 判 别 准则 速度 快 的 多 。 

即使 从 一 个 非 计 算 的 角度 来 看 ， 由 于 二 次 互 反 定 理 将 两 个 没有 明显 关系 的 事情 联系 起 
来 ， 因 此 它 的 作用 依然 很 大 。 但 有 时 二 次 互 反 定理 在 计算 上 的 重要 性 却 被 忽视 了 。 

然而 ， 有 关 二 次 符号 如 何 应 用 的 证 明 过 程 对 我 们 而 言 有 些 复杂 ， 所 以 在 此 省 略 了 。 


15.1 二 次 根 


求解 模 m 的 方程 跟 求 解 有 理 数 、 实 数 或 复数 域 上 的 方程 在 方法 上 有 许多 共同 的 特点 。 然 
而 ， 为 了 使 我 们 的 直观 认识 在 更 一 般 的 情况 下 仍然 正确 ， 需要 对 这 上 坚 在 处 理 实数 和 复数 时 得 
到 的 通用 性 不 强 的 直观 认识 进行 更 进一步 的 精练 。 

对 给 定 的 模 数 n 和 数 b， 问 题 是 5b 是否 有 模 n 的 一 个 二 次 根 。 也 就 是 说 ， 方 程 


x =bmodn 


是 否 有 解 ? 
例如 ， 
xz=2mod7 
有 解 x = 3,4 ， 这 是 因为 
32 =9=2mod7 
42=16=2mod7 





另 一 方面 ， 作 为 一 个 不 同 的 例子 ， 同 余 式 x*=5mod7 就 没有 解 ， 这 可 以 道 过 引入 
0,1,2,3,4,5,6 〈 最 坏 的 情况 ) 进行 验证 ， 你 将 看 到 这 些 数 的 平方 都 不 满足 模 7 同 余 $ 。 
注意 到 上 述 的 解 和 这 样 一 个 事实 是 没有 关系 的 ， 即 不 存在 整数 x， 使 得 x? =2。 而 且 这 
些 解 跟 在 实数 域 上 近似 于 2 的 一 个 平方 根 也 没有 什么 关联 : 
V2 =1.4142135623 731.… 
实际 上 ， 从 完全 直观 的 角度 看 ,， 模 m 的 平方 根 是 否 存 在 确 是 一 件 不 容易 说 明 的 问题 。 至 
少 我 们 早先 有 关 实 数 或 复数 的 二 次 根 的 经 验 看 上 去 与 此 没有 什么 联系 。 
作为 另 一 个 例子 ， 考 虑 
x2 =—1lmod5 
到 现在 我 们 应 该 可 以 回答 ， 实 数 的 平方 不 可 能 是 负数 ， 所 以 整数 的 平方 肯定 不 是 负数 〈 或 者 
类 似 的 )。 然 而 ，2 和 3 都 是 -1mod5 的 二 次 根 : 
27 =4=-lmod5 
3*=9=-lmod5 
从 一 个 相对 直观 的 角度 看 ， 判 断 xz =cmodm 是 否 有 解 的 惟一 方法 就 是 不 断 地 试验 ， 将 
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1,2….,m -1 工分 别 平 方 ， 然 后 看 是 否 为 cmodm 。 这 个 方法 至 少 有 一 个 优点 就 是 如 果 有 二 次 
根 存在 ， 那 么 我 们 不 仅 能 知道 其 存在 性 ， 还 能 明确 的 找到 它 。 
对 于 素数 模 数 p 且 同 余 3mod4 ， 我 们 已 经 得 到 了 求解 二 次 根 的 公式 
ymodp 的 二 次 根 = Je2r0/ 4 mod 
尽管 确实 存在 一 个 求解 二 次 根 的 概率 算法 ， 但 对 任意 的 素数 我 们 都 没有 公式 可 用 。 要 利用 这 
些 公式 或 算法 ， 首先 需要 知道 模 数 的 因 式 分 解 。 到 现在 ,我们 会 意识 到 这 可 能 是 很 难 做 到 的 。 
15.2 ”二 次 符号 


这 里 我 们 引入 标准 的 记号 ， 并 将 问题 稍 作 改 变 以 更 适合 二 次 互 反 定 理 。 
对 奇 素数 p ， 二 次 符号 或 者 勒 让 德 符号 (b/ p)，( 有 时 简单 的 记 为 (5b/p)， 省 略 了 下 标 ) 





定义 为 
0 如 果 gcd(b, p)>1 
2] =11 如 果 x? =bmod p 存 在 解 x 晶 gca(6, p)=1 
Pj -1 如 果 x? =bmod p 无 解 晶 ged(b, p)=1 
注意 到 


如 果 b=b'modp [2] -人 
PJ), \P/, 
备注 为 了 强调 这 个 符号 ， 我 们 将 在 二 次 符号 中 使 用 下 标 “2” 即使 我 们 不 会 使 用 其 他 
类 似 (x/p),，r2 的 符号 。 这 里 的 其 他 符号 表示 x 是 否 为 模 素数 p 的 r 次 宕 。 我 们 不 会 用 到 
这 些 ， 但 它们 比 二 次 符号 显得 更 精巧 。 
那么 对 任意 整数 n， 其 因 式 分 解 为 
n=2% pl pe 
其 中 p; 是 奇 素数 ， 定 义 扩 展 二 次 符号 或 雅 可 比 符号 为 


-( 全] 
n> Pi /> Pr /2 

对 素数 p ， 二 次 《 勒 让 德 ) 符号 (5b/ p), 是 指 5 是 否 为 模 p 的 一 个 二 次 根 。 这 就 是 整个 讨 
论 的 原因 所 在 。 然而， 这 不 包括 非 素 数 n 的 情况 。 也 就 是 说 ， 如果 n 不 是 素数 ， 那 么 这 个 〈 雅 
可 比 ) 符号 (b/n), 所 得 到 的 值 并 不 能 直接 表明 x? =bmodn 是 否 有 解 。 

因此 ， 雅 可 比 符号 更 多 的 起 到 一 个 辅助 的 作用 ， 在 勒 让 德 符号 计算 中 很 有 用 。 这 项 辅助 
作用 的 效用 归 因 于 使 用 二 次 互 反 律 可 以 快速 计算 雅 可 比 符号 这 个 事实 。 


15.3 ”乘法 性 质 


如 果 我 们 承认 欧 拉 判别 准则 可 以 判别 一 个 数 是 否 为 模 素数 的 平方 ， 那么 我 们 可 以 证 明 二 
次 符号 重要 的 基本 乘法 性 质 。 我 们 在 早先 曾经 陈述 过 下 面 这 个 定理 ; 
定理 〈 欧 拉 判 别 准则 ) “如果 素数 已 > 2 ， 对 整数 5 有 
b 
?2 


=bP V2 modp 


推论 
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时 = -1-0 
尼 2 


(这 是 定理 的 一 个 特殊 情况 ， 它 利用 了 在 对 -1 求 暴 时 我 们 不 需要 用 模 p 进行 约 简 这 一 事实 ) 
现在 我 们 有 了 二 次 符号 的 乘法 性 质 : 


证 明 ”利用 上 述 定理 ， 这 个 推论 就 不 难 证 明 : 计算 模 p 


coe ess) 人 mas 
PP/ PJ), Ph, 


备注 ”这 个 公式 至 少 说 明 ， 如 果 a 和 4b 都 是 模 素 数 的 非 平方 ， 那 么 它们 的 乘积 唉 就 是 
mod p 的 平方 。 

乘法 性 质 更 一 般 的 形式 是 : 

推论 ”对 任意 的 奇 整 数 n， 如 果 a 和 4b 与 a 是 互 素 的 ， 那 么 


那么 ， 根 据 扩展 二 次 符号 的 定义 


=( 扫 …( 二 ] 
7 /2 pi 2 pr 2 
由 此 ， 根 据 前 一 个 推论 


站 人 自 - 寺 -何人 兴 -从 - 付 - 何 


于 是 可 得 

[| -全 -名 | 

Pi), Pr /> n /2 
这 就 证 明了 推论 。 和 
15.4 二 次 互 反 律 


现在 我 们 介绍 二 次 互 反 律 的 定理 。 这 是 现代 数论 的 第 一 个 结论 ,其 原理 早 在 十 八 世 纪 后 期 
就 被 猜想 ， 但 直到 1796 年 才 由 高 斯 证 明 。 从 直觉 来 看 ,绝对 没有 理由 认为 这 竟然 是 个 正确 的 
结论 。 但 在 200 年 后 的 今天 ， 这 个 结论 已 经 被 很 好 地 接受 和 理解 并 且 成 为 整个 互 反 律 家 族 中 
最 具 代 表 性 的 一 个 ， 而 这 些 定律 是 所 谓 的 “类 域 理论 ”的 一 部 分 ,“ 类 域 理 论 ” 又 被 所 谓 的 
朗 兰 效 程 序 (Langlands program) 所 吸收 。 

在 定理 的 第 一 部 分 提 到 的 “ 互 反 ”这 个 词 , 其 含义 是 指 如 果 p 是 modg 的 一 个 平方 且 9 是 
modp 的 一 个 平方 ， 则 它们 是 互 反 的 。 定 理 的 证 明 将 在 稍 后 给 出 。 
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定理 《高 斯 二 次 互 反 ) ”如果 p,g 是 不 同 的 奇 素数 ， 那 么 


2 一 CO 
| 2 P 2 


在 这 个 公式 中 出 现 的 表达 式 (-D4 P94 仅 依 赖 于 p 和 gqg 模 4。 而且 


也 = (De? 
Ph 
3 = (DD/s 
P/2 


特别 的 ， 园 仅 依赖 于 模 4， 3 仅 依赖 于 p 模 8。 
2 2 

注意 到 这 个 结果 是 针对 勒 让 德 符 号 的 ， 而 不 适用 于 更 广泛 的 雅 可 比 符号 。 

因此 ， 根 据 这 个 结果 ， 我 们 就 有 一 个 算法 来 判断 x? =cmod p 是 否 有 解 ， 尽 管 它 不 能 找 
出 存在 的 二 次 根 。 

备注 证 明 二 次 根 的 存在 性 和 找 出 存在 的 二 次 根 之 间 的 区 别 ， 完 全 类 似 于 证 明 一 个 数 不 
是 素数 和 找 出 这 个 数 的 一 个 真 因子 之 间 的 区 别 。 

例如 ， 我 们 来 看 

x*=19mod101 

是 否 有 解 。 根 据 二 次 互 反 ， 我 们 有 


19 -HLOL 10] 
[号 | = (-DQd9-0401 “对 
101), 19 户 


通过 考查 19 和 101 模 4， 我 们 容易 发 现 -1 的 方 寡 为 1， 所 以 上 式 左 边 即 可 化 简 为 : 

101 61 /2 3 

加 三品 有 加 NG 
这 里 用 到 了 前 面 提 到 的 欧 拉 定理 的 推论 以 及 101%19 = 6 。 继 续 分 别 求解 最 后 两 个 二 次 符号 的 
值 。 对 前 一 个 ， 根 据 二 次 互 反 可 得 


2 2 ， . 
加 =(-D4 -518 Ds =-(-059 = -1 
2 


再 次 应 用 二 次 互 反 定律 ， 通 过 简约 19mod3 ， 另 一 个 二 次 符号 是 


了 | .NG-DGd9-D714 | --{ 2 -3 _ 
加 下 加 | 3 /> 3 /> | 
19 6 2 /3 
OC 


所 以 ，19 是 模 101 的 平方 。 

但 实际 上 ， 除 了 去 掉 2 的 方案 ， 没 有 理由 将 二 次 符号 中 的 输入 分 解 为 素数 。 这 对 大 整数 
尤为 重要 。 

推论 ( 雅 可 比 符号 的 二 次 互 反 )” 设 m,n 是 正 的 采 素 数 ， 那 么 ， 比 勒 让 德 符号 更 常用 的 
是 扩展 雅 可 比 符号 ， 我 们 有 


所 以 ， 结 果 为 
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(| 二 Cormeene 2] 
nj, m J 


证 明 ”当然 ， 我 们 将 应 用 关于 二 次 互 反 的 高 斯 定理 来 证 明 这 个 推论 。 设 
m= pi' pe 


n= gf gf 


是 m 和 的 因 式 分 解 。 屠 么 雅 可 比 符号 [ 加 | 可 以 按 更 基本 的 币 让 德 符号 来 表示 
2 


四 
根据 前 面 欧 拉 定 理 的 推论 ， 我 们 有 


所 以 ， 将 这 两 个 等 式 结合 起 来 ， 我 们 有 


个- 人 


2 


加寿， 我 们 将 二 将 反 全 入 用 在 每 个 | 如 | 上 我 们 几 得 到 如 下 式 于 
2 


qj 


efj 
m efi(pi-1)(q~) /4{ 9) 
~ 一 一 | 了 了 一 
加 | I ) | | 


i Pi /> 


= [Tp 加 
i,j m /> 


为 了 证 明 这 个 推论 ， 我 们 必须 证 明 
JI (1) (Pi IX /4 二 (一 TD D /4 
i,j 
由 于 我 们 正在 讨论 -1 的 方 寡 ， 所 以 我 们 真正 需要 证 明 的 就 是 
了 Pg -De = (m—1)(n-1) mod 2 
全 4 4 
去 掉 分 母 4， 上 式 等 价 于 
DY (p; -qj -Def; =(m-)(n-l)mod® 
了 
乐观 地 看 ， 这 只 需要 我 们 证 明 对 任意 奇 整数 w b,c:， 有 如 下 等 式 
(ab-Dce-Ds=s(a-bc-D+-Dc-Dmod8 
用 三 个 奇数 取代 oa,p ,c， 我 们 可 以 使 用 2a+1，28+1 和 2c+1 来 表示 这 三 个 奇数 。 那 么 我 们 
希望 得 到 的 是 
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((2a+1)(25+D -D2c+1) -1) 
=((2a+D)-1)(Q2c+D) -1)+((2b+1)-1)((Qec+1)-1)mod8 
展开 这 个 式 子 并 消去 某 些 项 ， 可 以 得 到 
(4ab —2a—2b)(2c) = (4ac)+ (4bc)}mod8 

去 掉 公 因 子 4， 最 后 的 同 余 式 等 价 于 

2abc—ac-bc=ac+bcmod2 
将 所 有 项 都 移 到 左边 ， 这 等 价 于 

2abc —2ac —2bc=0mod2 
这 肯定 是 正确 的 。 因 为 这 个 结论 等 价 于 前 面 对 推 论 的 断言 ， 所 以 我 们 已 经 证 明了 这 个 推论 。 
(调用 二 次 互 反 定理 》 电 

上 述 推论 的 成 功 证 明 ， 扩展 了 二 次 互 反 应 用 于 雅 可 比 符 号 这 一 重要 情况 ， 我 们 也 需要 得 


到 [ 池 ] 和 | 2] 的 相应 结果 。 
n ) ny 


推论 设 n 是 正 的 奇数 ， 我 们 可 以 求 得 雅 可 比 符号 的 值 


3 一 (- DD {12 

7 /2 

目 二 (De -DA 
n> 





特别 的 ，| 过 ] 只 依 才 于 模 4，[ 2] 只 依 卉 于 模 8。 
2 2 
证 明 设 n= pf.… ptt 是 天 的 素 因 子 分 解 ， 根 据 用 勒 让 德 符号 定义 的 雅 可 比 符 号 ， 我 
们 有 
-1 -1Y 
| n ) IT | 
我 们 知道 这 个 式 子 的 值 为 
TIC 
像 前 面 推 论 中 的 证 明 一 样 ， 为 了 证 明 它 等 于 
(DD 
只 需要 证 明 对 奇数 a 和 4b， 
21 ,b71, 4-1mod2 
2 2 


用 2a+1 和 25+1 分 别 代替 a 和 5， 并 且 左 右 同 乘 以 分 母 2 ， 这 等 价 于 证 明 
(2a+D)-1+(25+41)-1=(2a+1)(2b +1) -1mod4 
将 上 式 展开 ， 则 它 等 价 于 


2a+26=4ab+9a+2bmod4 
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这 显然 是 成 立 的 。 这 证 明了 关于 | 二 守 ] 的 结论 


对 [三 ] 的 悄 况 ， 如 果 我 们 参照 上 面 的 步骤 ， 讨 论 是 相同 的 。 雅 可 比 符号 的 定义 有 
nj), 


中 -DUO 


[Tye 


经 过 二 次 互 反 得 到 


像 上 面 一 样 ， 为 了 证 明 它 等 于 
(- De 
只 需要 证 明 对 两 个 任意 的 奇数 wp ， 如 下 更 一 般 的 结 
(- 1 -1)/8 =(- DC et ei 
像 上 面 一 样 ， 为 了 证 明 这 个 关于 -1 的 方 容 的 结论 等 价 于 证 明 对 奇数 a,b 
(ab -1 a’-1b”-l 
8 8 8 
左右 同 乘 以 分 母 8 并 且 用 2a+1 和 22+1 分 别 代替 a 和 8， 这 等 价 于 
FK2a+DCp+D -1=s(a+D -1+(20+1D -lmod16 


mod2 





化 简 得 到 


(4a +4a+D(452 + 4b+1) -1=4a*+4a+4b* +4bmod16 
或 者 
16a’b* +16a’b+1l6ab’ +16ab+4a +40* +4a+4b=4a :+4a+4b*+4bmod16 
如 果 我 们 消去 16 的 倍数 和 左右 两 边 同时 出 现 的 项 ， 就 会 得 到 等 价 的 同 余 式 0=0mod16 。 这 
当然 是 成 立 的 。 


最 后 ， 我 们 对 n 模 4 或 8 的 值 来 验证 二 次 符号 [二 中 [2] 的 值 。 这 是 简单 易 行 的 ， 对 
正 整数 4， 





n 


( 一 1 ] C1) (DD? (CDe-D72 _ (3 
n+4), . 2 


对 [2]， 我 们 计算 
有 /2 





2 7_ TO+802-D718 7 1N862+260 7 TAO2-D718 
GG - 了 =(-l) (1 
这 就 证 明了 结论 。 全 
15.5 ”快速 计算 

与 欧 几 里 得 算法 有 效 性 的 原因 类 似 ， 二 次 互 反 的 扩展 形式 的 雅 可 比 符 号 给 出 了 一 个 计算 
二 次 符号 的 算法 。 注 意 利用 雅 可 比 符号 ， 我 们 就 可 以 避免 将 整数 分 解 为 素数 乘积 ， 后 者 是 一 
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个 非常 耗 时 间 的 事情 。 
为 了 具体 说 明 这 种 方法 ， 我 们 这 里 给 出 两 个 例子 。 第 一 个 例子 相对 要 简单 一 些 ， 我 们 将 


给 出 详细 的 计算 步骤 。 在 第 二 个 例子 中 ， 由 于 使 用 了 大 的 整数 ， 为 了 表明 算法 的 坟 是 有 站 过 
行 的 ， 我 们 可 能 略 去 一 些 步 又 。 最 后 我 们 得 到 了 该 算法 更 加 形式 化 的 找 述 。 


不 用 进行 任何 的 奇 素数 因子 的 分 解 ， 我 们 来 计算 | 32] (整数 4327 已 经 是 一 个 素数 )。 


由 二 次 互 反 律 我 们 有 
(3 -cD “(9 (和 
4327)， 1237 ), \1237 ), 


注意 到 我 们 既 不 需要 知道 也 不 必 关 心 1237 是 不 是 素数 ， 用 模 1237 去 约 简 4327， 上 面 的 二 次 


符号 则 等 于 
616 
Ce 

从 616 中 提取 出 因子 2， 则 我 们 得 到 

2 如 人 2 2 154 

EEC) 
_f 2 2 2 77 
-[ 友 ?) [ 喜 237 中 [ 匣 ) 


这 是 因为 对 互 素 的 两 个 整数 m,n 而 言 ， ene] -1 EE ， 我 们 用 模 8 来 约 
2 2 


简 1237， 于 是 有 
2 2 
[ 南 ) 8) 1) OD | 
接 下 来 我 们 再 计算 


| 77 ] -人 pom] -加 -( 访 | 
1237 7 7 J 77), 
-CO 了] -| -人 
53) 、\ 5 \3) 


目 一 (DG -048 一 人 (13 =_1 
2 
将 两 步 计 算 的 结果 汇总 ， 则 有 


(名 | -( 信 ] Cal -( 2 j 让 | 
4327 1237), \1237) \1237),\1237), 
1237 77 2 
= Cn ] = cl 冶 ] = con] = co =(-D(~D=1 


利用 前 面 的 计算 结果 ， 


二 光 互 反 仿 理 207 


因此 ， 我 们 说 1237 是 模 4327 的 一 个 平方 根 。 
现在 让 我 们 来 给 出 一 个 大 点 的 数 的 例子 ， 计 算 
123456791 
Cn) 


这 里 我 们 已 知 987654323 是 一 个 素数 。 利 用 二 次 互 反 律 ， 并 且 注 意 到 这 两 整数 模 4 后 均 约 简 


(2 -2 ] -| ] 
987654323)， \123456791 123456791)， 


《这 里 就 需要 一 些 计 算 的 技巧 ， 略 去 一 些 计 算 步骤 ) 提取 出 2 的 方 究 ， 可 得 
2 61728393 】 (211f 61728393、 /61728393 
-| 四 四 IE 车 
因为 61728393%4 =1， 因 此 
123456791] _ 5 61728393] [3 
-| 61728393 ] -二 -| 5 ] -3 


-但 -全 -er 


因此 ，123456791 是 模 987654323 的 一 个 平方 。 

在 上 述 第 二 个 例子 中 ， 我 们 的 运气 还 算 不 错 ， 算 法 很 快 就 结束 了 。 一 般 地 ， 类 似 于 欧 几 
里 得 算法 中 的 大 概 估计 ， 计 算 [ 三] 最 多 需要 2iog: 步 ， 这 里 的 x 满足 1<x<n。 但 是 ,因子 
2 的 出 现 还 需要 额外 的 处 理 。 
习题 


站 
2 














15.5.01 计算 二 次 符号 (-171009); 的 值 ， 判 断 -1 是 不 是 模 1009 的 一 个 平方 ? 
15.5.02 计算 二 次 符号 (-1/1033), 的 值 ， 判 断 -1 是 不 是 模 1033 的 一 个 平方 ? 
15.5.03 计算 二 次 符号 (2/1009); 的 值 ， 判 断 2 是 不 是 模 1009 的 一 个 平方 ? 
15.5.04 计算 二 次 符号 (2/1033), 的 值 ， 判 断 2 是 不 是 模 1033 的 一 个 平方 ? 
145.5.05 计算 一 次 符号 (3/1009), 的 值 ， 判 断 3 是 不 是 模 1009 的 一 个 平方 ? 
15.5.06 计算 二 次 符号 (-5/1009), 的 值 ， 判 断 -5 是 不 是 模 1009 的 一 个 平方 ? 
15.5.07 计算 二 次 符号 (119/1009), 的 值 ， 判 断 119 是 不 是 模 1009 的 一 个 平方 ? 
15.5.08 计算 二 次 符号 (-1/2009), 的 值 ， 判 断 -1 是 不 是 模 2009 的 一 个 平方 ? 
15.5.09 计算 二 次 符号 (-1/2033), 的 值 ， 判 断 -1 是 不 是 模 2033 的 一 个 平方 ? 
15.5.10 计算 二 次 符号 (-1/2041), 的 值 ， 判 断 -1 是 不 是 模 2041 的 一 个 平方 ? 
15.5.11 计算 二 次 符号 (2/2009), 的 值 ， 判 断 2 是 不 是 模 2009 的 一 个 平方 ? 
15.5.12 计算 二 次 符号 (3/2009), 的 值 ， 判 断 3 是 不 是 模 2009 的 一 个 平方 ? 
15.5.13 计算 二 次 符号 (-5/2009), 的 值 ， 羯 断 -$ 是 不 是 模 2009 的 一 个 平方 ? 
15.5.14 计算 二 次 符号 (119/2009), 的 值 ， 判 断 119 是 不 是 模 2009 的 一 个 平方 ? 
15.5.15(*) 利用 欧 拉 准则 与 利用 二 次 互 反 律 ， 哪 一 个 方法 在 计算 模 素数 p 的 平方 根 x 时 
更 快 或 者 更 好 ? 


第 6 章 伪 素 数 


我 们 所 知道 最 简单 的 素性 判别 的 方法 是 试 除法 ， 这 大 概 需要 Vn 步 才能 证 明 n 是 素数 。 
当 2as102 时， 在 主 频 为 200MHz 的 计算 机 上 进行 验证 大 概 需 要 几 分 钟 的 时 间 ， 但 当 n “10% 
时 ， 这 个 时 间 则 变 为 10* 年 。 然 而 现代 密码 系统 所 需要 的 许多 素数 至 少 是 要 大 于 10%。 

首先 要 折 惠 的 一 点 是 ， 如 果 我 们 牺牲 一 些 确定 性 就 可 以 在 速度 上 获得 大 的 提升 ,也 就 是 
说 ,我 们 可 以 快速 的 证 明 很 大 的 数 可 能 是 素数 ， 但 这 样 并 不 能 像 传统 计算 方法 那样 得 到 非常 
确定 的 素数 。 由 于 这 些 传统 的 计算 方法 从 来 就 没有 被 完成 ， 所 以 某 种 程度 的 “牺牲 ”这 个 说 
法 也 许 不 大 合适 。 

我 们 称 已 经 通过 不 同 的 素性 概率 检验 ， 但 还 不 能 确定 是 否 真正 是 素数 的 数 为 伪 素 数 (有 
不 同类 型 ) 或 可 能 素数 。 有 时 “ 伪 素 数 ” 这 个 词 通常 是 指 一 个 通过 了 素性 概率 检验 的 非 素数 。 
然而 对 我 们 而 言 ， 一 个 伪 素 数 是 指 通 过 了 一 系列 素性 概率 检验 的 数 〔 可 能 是 素数 ， 也 可 能 不 
是 )。 

对 数 n 进 行 某 个 特定 的 素性 概率 检验 都 需要 利用 一 个 或 多 个 辅助 的 数 b， 这 个 5 是 从 
1<b<n“ 随 机 ”选取 的 。 如 果 一 个 特定 的 辅助 数 b 告诉 我 们 “nn 可 能 是 素数 ”， 则 5b 是 n 的 
素性 证 据 。 问 题 是 在 1 到 之 间 绝 大 部 分 数 都 不 是 证 据 《 有 时 称 之 为 假 证 据 3， 也 就 是 说 它 
们 的 结论 是 是 素数 ， 而 实际 上 nn 并 不 是 素数 。 因 此 ， 这 个 问题 的 一 部 分 就 是 要 保证 在 1 到 
n 之 间 选 取 的 数 5 是 判断 nn 是 素数 或 是 合 数 的 〈( 真 的 ) 证 据 。 费 马 伪 素数 检验 的 致命 缺陷 就 
是 存在 没有 证 据 的 合 数 x， 这 称 为 卡 米 克 尔 数 。 其 他 两 个 素性 检验 则 没有 这 个 缺陷 。 

在 所 有 的 情况 下 ， 这 个 用 在 我 们 所 说 “ 是 素数 的 概率 是 2-" ”的 概率 概念 是 一 个 基础 
的 启发 式 概 念 ， 它 基于 这 样 一 个 假设 ， 在 xn 种 可 能 性 中 我 们 不 能 理解 每 个 可 能 性 都 以 1/n 的 
概率 发 生 。( 这 种 伪 概 率 推理 在 过 去 的 200 年 一 直 不 为 重视 》 

另 一 方面 ， 如 果 扩 展 歼 曼 假 设 是 真 的 ， 这 些 素性 概率 检验 可 以 转化 为 确定 性 检验 。 许 多 
数学 家 相信 扩展 禾 曼 假 设 是 真 的 ， 而 且 没 有 能 反驳 这 一 点 的 简单 证 明 (直到 2000 年 中 期 )， 
但 似乎 也 还 没有 人 知道 怎么 证 明 这 一 点 。 这 个 问题 的 提出 已 经 有 140 年 ， 但 一 直 没 有 实质 的 
进展 。 假 定 扩展 黎 曼 假设 是 真 的 ， 就 可 以 得 出 存在 一 个 惟一 的 常数 C， 对 任意 的 整数 部 ， 如 
果 ? 是 合 数 ， 则 存在 一 个 欧 拉 证 据 〈 这 也 是 个 强 证 据 ) 了 

1<b<C.(logn) 
也 就 是 说 ， 如 果 nn 是 合 数 ,我 们 可 以 缩小 查找 一 个 ( 真 ) 证 据 的 范围 。 但 具有 讽刺 意味 的 是 ， 
即使 是 这 个 结论 的 精练 形式 ， 甚 至 接受 扩展 黎 曼 假设 ， 要 确定 大 数 的 素数 性 还 是 需要 进行 几 
百 或 几 干 次 概率 算法 所 需 的 米 勒 - 罗 宾 检 验 。 也 就 是 说 ， 即 使 我 们 有 一 个 确定 的 方法 可 用 ， 
概率 方法 还 是 显得 更 快 一 些 。 这 使 得 我 们 想 知 道 需要 付出 多 少 才 能 得 到 完全 的 确定 的 素性 ， 
而 不 是 99.9999999% 的 概率 素性 。 


16.1 费 马 伪 素 数 
这 一 节 给 出 了 一 个 素性 的 启发 式 检验 。 它 有 几 个 缺陷 而 且 最 终 我 们 不 会 用 到 它 ， 但 它 说 
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明了 两 个 非常 重要 的 问题 : 首先 ， 概 率 算 法 要 比 傅 定 性 算法 更 快 ， 其 次 ， 我 们 不 能 简单 的 期 
望 能 够 对 所 有 看 上 去 是 真实 的 事情 提供 证 握 。 
一 方面 ， 费 马 所 谓 的 小 定理 ， 断 言 对 任何 素数 p 和 整数 b 有 


b?=bmodp 
等 价 的 描述 则 是 ， 和 如果 p 不 整除 b， 我 们 有 
br =1lmodp 


还 有 网 拉 定 理 的 一 个 特例 ， 它 汤 言 如 果 5 和 整数 nn 互 素 ， 则 

pe2( =1modn 
其 中 gg 是 欧 拉 函 数 。( 应 用 群 论 可 以 很 好 的 证 明 欧 拉 定 理 ， 我 们 将 在 稍 后 做 这 件 事情 ,》 

整数 被 称 为 费 马 伪 素数 或 普通 伪 素 数 ， 或 者 简单 地 称 为 伪 素 数 ， 如 果 

2"1 =1modn 
因为 费 马 小 定理 的 逆 命 题 不 成 立 ， 所 以 说 于 是 一 个 费 马 伪 素 数 并 不 保证 它 就 是 一 个 素数 。 而 
且 在 实际 中 满足 2”=2modn ， 而 n 不 是 素数 这 种 情况 并 不 少见 。 比 如 ，341=11x31 不 是 素 
数 ， 而 且 这 是 最 小 的 是 费 马 伪 素 数 而 不 是 素数 的 数 ，2”! = 2mod 341 。 其 余 的 一 些 非 素 费 马 
伪 素 数 是 ; 

561 645 1105 1387 1729 1905 2047 2465 

在 10” 以 内 只 有 5597 个 非 素 的 费 马 伪 素 数 。 

如 果 一 个 整数 n 没 有 通过 费 马 检 验 ， 也 就 是 2 1modn， 则 nn 一 定 不 是 素数 (由 于 如 
果 n 是 素数 ， 则 必然 有 2”! = 1modn )。 

因为 快速 指数 算法 为 计算 5"”' modn 提供 了 一 个 经 济 简便 的 方法 ， 所 以 我 们 可 以 比 用 试 
除法 验证 一 个 整数 nn 的 素数 性 更 快 地 检验 其 是 否 为 费 马 伪 素 数 。 

我 们 可 以 给 一 个 更 严格 的 条 件 ， 整 数 n 对 于 基数 b 是 费 马 伪 素数 ， 如 果 

b” -lmodn 
如 果 65”Tz1modn， 则 一 定 不 是 素数 。 另 一 方面 ， 即 使 对 所 有 与 互 素 的 整数 b 都 有 
b"! =1modn ， 我 们 还 是 不 能 保证 n 就 是 素数 。 

一 个 整数 b 满足 1<b<n， 如 果 5”=1modn 则 说 5b 是 的 素性 ( 费 马 ) 证 据 ， 如 果 n 实 
际 不 是 一 个 素数 ， 则 说 5 是 n 的 ( 费 马 ) 非 证 据 或 ( 费 马 ) 假 证 据 。 | 

而 且 一 个 非 素 数 对 不 同 的 基数 有 不 同 的 表现 。 例 如 , 非 素数 91= 7.13 不 是 费 马 伪 素 数 ( 基 
数 是 2 )， 但 如 果 基 数 是 3 的 话 就 是 费 马 伪 素 数 。 

在 实际 中 ， 一 个 整数 对 于 一 个 基数 或 更 多 的 基数 b 是 伪 素 数 而 它 并 不 是 素数 的 情况 是 常 
见 的 。 而 且 有 无 穷 多 个 整数 对 所 有 的 基数 《和 它们 互 素 的 数 ) 都 是 伪 素 数 ， 但 实际 却 不 是 素 
数 。 这 称 为 卡 米 克 尔 数 ， 小 于 10 000 的 卡 米 克 尔 数 有 

561 1105 1729 2465 2821 6601 8911 
在 10? 以 内 只 有 2163 个 卡 米 克 尔 数 , 在 102 以 内 有 8241 个 , 在 102 以 内 有 19 279 个 , 在 10! 
以 内 有 44 706 个 ,在 105 以 内 有 105 212 个 (参见 [Pinch 1993])。 

稍 后 ， 我 们 将 证 明 一 个 卡 米 克 尔 数 一 定 是 奇数 、 非 平方 ， 并 且 至 少 可 以 被 3 个 素数 整除 
的 结论 。 这 个 结论 对 于 理解 为 什么 更 优 的 伪 素 数 和 相应 概率 素性 检验 方法 (下 面 ) 没有 现 有 
的 卡 米 克 尔 数 类 似 的 缺点 也 是 十 分 必要 的 。 

是 否 有 无 穷 多 个 卡 米 克 尔 数 是 一 个 已 经 有 80 年 历史 的 公开 问题 。 最 近 , 有 人 证 明 卡 米 克 
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尔 数 是 无 穷 多 的 ， 实 际 上 ， 存 在 一 个 常数 C 使 得 小 于 x 的 卡 米 克 尔 数 的 数量 至 少 是 C.x*”?。 
参见 [Alfold，Granville，Pomerance 1994]。 


习题 


16.1.01 证 明 合 数 45 对 基数 17 是 费 马 伪 素数 。 
16.1.02 证 明 合 数 49 对 基数 18 是 费 马 伪 素 数 。 
16.1.03 证 明 合 数 51 对 基数 35 是 费 马 伪 素 数 。 
16.1.04 证 明 合 数 55 对 基数 21 是 费 马 伪 素数 。 
16.1.05 证 明 合 数 57 对 基数 20 是 费 马 伪 素 数 。 
16.1.06 证 明 合 数 65 对 基数 14 是 费 马 伪 素 数 。 
16.1.07 验证 341,561,645,1105 不 是 素数 , 但 它们 对 于 基数 2 是 最 小 的 费 马 伪 素 数 。 这 些 
非 素数 中 哪个 可 以 通过 对 于 基数 3 或 者 基数 $ 的 费 马 检验 ? 
16.1.08 证 明 如 果 n 对 于 基数 2 和 基数 3 是 费 马 伪 素数 , 则 它 对 于 基数 6 也 是 费 马 伪 素 数 。 


16.2 ” 非 素 的 伪 素 数 


我 们 可 以 很 容易 地 证 明 ， 对 固定 的 基数 b， 如 果 有 一 个 对 基数 45 的 非 素数 费 马 伪 素 数 ， 
则 我 们 可 以 明确 得 到 无 限 多 这 样 的 数 。 实 际 上 ， 比 这 更 好 的 是 ， 对 基数 5 的 无 限 多 非 素 数 费 
马 伪 素数 存在 一 个 清晰 的 结构 .这 个 思想 由 A.Korselt 在 1899 年、.E.Malo 在 1903 年 、M.Cipolla 
在 1904 年 、R.D.Carmichael 在 1912 年 分 别提 出 。 
第 一 个 命题 假定 我 们 已 经 知道 一 个 对 基数 b 是 非 素 的 伪 素 数 ， 由 此 我 们 可 以 生成 一 个 迅 
速 增加 的 这 类 整数 的 无 限 序列 。 
命题 假设 b""=1modn， 但 n 是 一 个 合 数 并 且 gcd(5 一 1,n)=1， 那 么 
pb" —l 
bl 
具有 同样 的 性 质 : 即 b”"! =1mod NN ,但 N 是 合 数 而 且 和 2 -1 互 素 。 因 此 ， 从 一 个 对 基数 的 
非 素 的 费 马 伪 素 数 % 出 发 ， 我 们 可 以 得 到 另外 一 个 这 样 的 数 NN 。 











N10 1 1 -10+1 .bl 
-1 b-l Bb-l 
nm-l 
由 于 和 -1 没有 公 因子 ， 且 由 假设 m15"! -1， 则 | 一 。 所 以 存在 整数 4， 使 
bl =n¢ 
b-l 
也 就 是 说 ， 我 们 有 
pb”!1_1 
N-1=6b.——=bnt 
b-l 
那么 


DAN-I _1 一 po -1 一 (b" )s* _l 
根据 基本 的 代数 知识 可 知 这 是 如 -1 的 倍数 ， 所 以 当然 也 是 N = (6b" -DA -D 的 倍数 。 最 后 ， 
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为 了 验证 N 和 -1 是 互 素 的 ， 根 据 费 马 观察 ， 对 于 p>1 有 gcd(b- 1 加 -DJ=bzedo 几 -1， 所 
以 有 
ged(b- 1,b"-1)b-1, gcdb- 1,(b"- 1 -11 
证 明 完 成 。 全 
下 一 个 命题 将 给 出 对 于 基数 b 的 一 个 无 限 多 个 非 素 的 费 马 伪 素 数 集合 。 
命题 设 b 宇 2，p 是 满足 p>2 日 不 整除 b(5 一 1(5+1) 的 素数 。 则 
_ bP?—1 bP?+1 
.01 b+l 








是 一 个 对 于 基数 b 的 非 素 费 马 伪 素 数 。 
证 明 因为 b 宇 2 日 p>2 是 奇数 ，(52 -D/b-1) 和 (6b?+1)/(b+1) 都 是 大 于 1 的 整数 ， 所 
以 NN 肯 定 不 是 素数 。 则 








b?~l b?+l 1- bp*((b*)? 7 一 





bp-1 b+l pb” -1 
由 于 p 是 素数 且 不 整数 bp， 所 以 p 整除 (57)?-1 -1。 因 为 疡 不 整除 六 -1， 所 以 实际 上 P 整除 
(60°)” -1 
六 一 1 


而 且 ， 如 果 不 考 虑 的 奇偶 性 ， 那 么 
(CD)P -1) 
bp*—1 
是 偶数 。 所 以 令 
2 2、p-l 
Ka -ap 
其 中 2 是 一 个 整数 。 那 么 
b?-l bP+l 
bo-l bt _1=522_ 1 
由 基本 的 代数 知识 可 知 它 是 5b”? -1 的 倍数 。 因 此 ， 可 以 肯定 ， 它 也 是 NX= (22 -DA -1D 的 
倍数 。 所 以 ，N 是 对 于 基数 4b 的 非 索 费 马 伪 素数 。 全 
备注 ” 相 比 较 而 言 ， 要 证 明 卡 米 克 尔 数 是 无 穷 多 的 更 困难 些 ， 也 就 是 说 对 非 素数 n， 要 
证 明 所 有 与 n 互 素 的 5b 都 满足 bp” =1modn。 这 一 点 直到 1994 年 才 由 Alford 、Granville 和 
Pomerance 等 人 完成 。 参 见 [Alford ,Granville,Pomerance 1994]。 


习题 
16.2.01 找 出 五 个 对 于 基数 2 的 不 同 非 素 费 马 伪 素数 。 
16.2.02 找 出 五 个 对 于 基数 3 的 不 同 非 素 费 马 伪 素数 。 


16.2.03 找 出 六 个 对 于 基数 7 的 不 同 非 素 费 马 伪 素 数 。 
16.2.04(*) 找 出 不 同 的 五 个 同时 是 对 于 基数 2 和 基数 3 的 费 马 伪 素 数 的 非 素 数 。 


16.3” 欧 拉 伪 素数 
可 以 改进 我 们 的 素性 概率 检验 算法 ， 以 成 功 排除 某 些 是 〈 费 马 ) 伪 素 数 的 非 素数 。 这 需 
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要 一 些 附加 的 结构 。 于 1976 年 提出 的 索 洛 维 -斯 特 拉 森 检验 是 第 一 个 非常 合理 的 综合 素性 概 
率 检 验算 法 。 其 合理 的 快速 算法 依赖 于 利用 二 次 互 反 律 对 〔〈 雅 可 比 ) 二 次 符号 的 快速 估算 。 
我 们 称 一 个 通过 索 洛 维 -斯 特 拉 森 检验 (可 能 是 也 可 能 不 是 素数 ) 而 “可 能 是 素数 ”的 数 为 
欧 拉 伪 素 数 。 重 要 的 是 注意 在 欧 拉 伪 素数 中 没有 类 似 于 卡 米 克 尔 数 的 数 。 
对 给 定 的 模 数 n 和 数 b， 问 题 是 5 是否 有 一 个 模 n 的 平方 根 。 也 就 是 说 ， 如 下 方程 
x =bmodn 
是 否 有 解 ? : 
对 于 奇 素数 p ， 二 次 符号 或 勒 让 德 符 号 (5/ p)，( 有 时 简单 地 记 作 (5b/ P) ， 将 下 标 省 略 ) 
定义 为 
0 ”如 果 gcd(p,p)>1 
2 =41 如果 x? =bmod p 有 解 且 gcd(b,p)=!1 
?|-1 如 果 x* =bmodp 无 解 晶 gcd(b, p)=1 


则 对 任意 的 整数 n， 且 其 素 因子 分 解 为 
n= 2°° pr “pk 
其 中 p; 是 奇 素数 ， 扩 展 二 次 符号 或 雅 可 比 符号 定义 为 


nj), Pi), Pr /> 
重要 的 是 ,认识 到 素数 p 的 二 次 符号 (51 p); 已 经 说 明 是否 是 模 p 的 平方 , 但 对 于 非 素 
数 n 就 不 能 说 明 这 一 点 。 也 就 是 说 ，(b/n), 这 个 值 并 不 能 直接 说 明 x? =bmodn 是 否 可 解 。 然 
而 ， 对 于 目前 的 目标 而 言 ， 雅 可 比 符号 的 优势 在 于 可 以 快速 的 计算 。( 如 果 (5b/n), =-1， 则 
明确 说 明 5 不 是 一 个 平方 ， 但 如 果 (5/n), =1， 就 还 难以 确定 是 否 是 一 个 平方 。) 
欧 拉 证 明了 (这 一 点 我 们 将 在 稍 后 进行 ) 对 素数 六 有 


Pp-l 
2 =b?* modp 
2 
n-l 


相反 ， 如 果 不是 素数 ，5 7 对 于 不 同 的 5 就 是 随机 的 。 
对 于 欧 拉 伪 素数 采用 同样 的 不 合理 跳跃 ， 我 们 认为 整数 是 基 为 5 的 欧 近 伪 素数 如 果 有 
下 式 


也 | =5o-D'2modz 
n> 


由 于 二 次 符号 的 值 为 +1 和 0， 我 们 可 以 看 到 一 个 对 于 基数 b 的 欧 拉 伪 素 数 同时 是 一 个 对 
于 基数 5 的 费 马 伪 素 数 。 毕 竟 ， 我 们 需要 应 用 费 马 判别 准则 来 计算 的 部 分 是 模 n 的 平方 ， 而 
这 可 以 应 用 欧 拉 判别 准则 来 计算 。 

当然 ， 为 了 让 这 个 准则 能 在 所 有 的 情况 下 使 用 ， 我 们 必须 能 快速 计算 5"?? modn 和 雅 
可 比 符号 。 快 速 指数 算法 能 够 实现 前 者 ， 而 二 次 互 反 律 则 提供 了 对 后 者 的 快速 算法 。 

满足 ge- = [各] 的 整数 b 是 ”的 素性 的 一 个 欧 拉 证 据 。 如 果 这 个 等 式 成 立 而 "不 是 素 


n 


数 ， 则 5 是 一 个 非 〈 欧 拉 ) 证 据 ， 或 假 证 据 。 
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稍 后 我 们 将 看 到 在 欧 拉 伪 素 数 中 没有 和 卡 米 克 尔 数 类 似 的 数 。 也 就 是 说 ， 如 果 n 不 是 素 
数 ， 则 至 少 有 一 半 的 5 在 0<5<n 范 围 内 是 这 个 事实 的 证 据 。 剩 下 的 问题 就 是 我 们 尚 不 清楚 
这 些 证 据 是 如 何 分 布 的 。 


16.4 ” 索 洛 维 - 斯 特 拉 森 检验 


这 个 检验 是 第 一 个 于 1976 年 提出 的 素性 概率 检验 算法 。 当 对 nn 应 用 这 个 检验 时 ， 它 对 于 
不 同 的 基数 b 检验 n 是 否 是 欧 拉 伪 素 数 。 其 合理 的 快速 算法 依赖 于 二 次 互 反 律 允 许 对 〔 雅 可 
比 二 次 符号 的 快速 估算 。 但 它 的 编程 实现 要 比 米 勒 - 罗 宾 检 验 困难 ， 所 以 在 实际 中 米 勒 - 罗 
宾 检 验 用 的 更 多 。( 男 一 方面 ， 完 全 理解 米 勒 - 罗 宾 检 验 的 工作 原理 还 稍 有 困难 。) 

需要 注意 的 是 ， 由 于 米 勒 - 罗 宾 更 简单 并 且 结 果 更 佳 ， 所 以 索 洛 维 -斯 特 拉 森 检验 
CSoloray-Strassen Test) 并 不 适用 于 实际 的 目的 。 然 而 ， 索 洛 维 -斯 特 拉 森 的 运行 机 制 还 是 值 
得 研究 的 ， 它 引出 了 稍 后 要 用 到 的 重要 问题 和 概念 。 

索 洛 维 - 斯 特 拉 森 检验 可 以 证 明 合 数 的 确定 性 ， 但 只 能 以 某 个 启发 式 概率 证 明 素数 性 。 

我 们 将 描述 索 洛 维 -斯 特 拉 森 算法 的 工作 过 程 ， 在 解释 它 是 如 何 工作 之 前 我 们 需要 更 多 
的 准备 工作 。 

设 n 是 正 奇数 ， 在 1 到 n 一 1 之 间 “ 随 机 地 ”选取 个 整数 b， 对 所 选取 的 每 个 5 计算 

br"-)/2%n 


和 《 雅 可 比 ) 二 次 符号 


如 果 用 所 选取 的 5 计算 出 的 这 两 个 数值 不 相等 ， 就 停 下 来 ，n 不 是 素数 。 如 果 这 两 个 表达 式 
的 值 对 所 选 的 5 都 相等 ， 则 我 们 设想 是 素数 的 概率 至 少 为 | 
1 一 2 环 
这 个 思想 是 ， 如 果 nn 是 合 数 ， 则 在 1 到 -1 之 间 至 少 有 一 半 的 数 是 这 个 事实 的 证 据 ， 也 
就 是 说 ， 存 在 n 和 和 4b， 满足 
so Veymone 2] 
2 


n 

这 样 的 一 个 5 被 称 作 的 合 数 性 的 欧 拉 证 据 。 

对 每 个 b， 你 可 以 验证 每 步 计 算 需 要 进行 O(log n) 次 位 运算 。 

重要 的 是 确信 对 任何 合 数 n， 对 于 1<b<n 至少 有 一 半 的 b 是 证 据 。 在 理解 了 本 原 根 (和 
诸如 二 次 互 反 等 相关 概念 ) 的 概念 之 后 我 们 可 以 证 明 这 一 点 。 

的 确 ， 要 完全 理解 索 洛 维 -斯 特 拉 森 检验 的 运行 机 制 或 概率 是 怎样 得 到 的 并 不 容易 。 
习题 

16.4.01 找 出 三 个 最 小 的 卡 米 克 尔 数 561、1105、1729 是 合 数 的 最 小 欧 拉 〈 索 洛 维 -斯 
特 拉 森 ) 证 据 。 
16.5” 强 伪 素数 


继续 应 用 平方 根来 检验 素数 性 ， 我 们 可 以 比 欧 拉 准 则 走 得 更 远 些 。 这 里 的 基本 思想 ， 是 
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如 果 靖 是 一 个 素数 ， 则 乙 / 疡 中 应 该 只 有 1 的 两 个 平方 根 ， 也 就 是 二 l 。 

设 n 是 奇数 ， 因 式 分 解 

n~-l=2.¢ 
其 中 是 奇数 。 则 n 是 基数 为 上 的 强 伪 素 数 ， 如 果 
六 =lmodn 或 者 对 某 些 0<r<s， b*? <=-lmodn 

表面 上 看 ， 确 实 很 难看 出 这 和 素数 性 有 什么 联系 。 除 非 上 面 关 于 这 个 检验 的 备注 和 1 的 . 
“错误 的 ”平方 根 的 出 现 是 相关 的 ， 否 则 确实 很 难 理解 这 是 怎样 一 回 事 。 . 

无 论 如 何 ， 考 虑 到 快速 指数 算法 ， 这 个 算法 的 速度 是 相当 快 的 。 其 工作 原理 我 们 稍 后 将 
介绍 。 


16.6 米 勒 - 罗 宾 检 验 


米 勒 - 罗 宾 (Miller-Rabin〉 素 性 概率 检验 算法 可 以 用 来 寻找 强 伪 素数 。 当 应 用 在 数 n 上 
时 ， 它 用 几 个 不 同 的 基数 b 检验 n 是 否 是 强 伪 素数 。 这 个 检验 易于 运行 ， 所 以 在 实际 中 应 用 
广泛 。 其 速度 很 快 的 原因 是 模 n 的 指数 运算 相当 快 。 

这 个 检验 的 思想 是 对 非 素数 mn, 在 Z/n 中 至 少 存在 两 个 元 素 x 使 得 x =1 而 且 xx+1。 也 
就 是 说 ，1 有 多 于 两 个 的 平方 根 。 和 索 洛 维 -斯 特 拉 森 检验 一 样 ， 对 其 工作 原理 做 更 多 的 解释 
是 必要 的 。 米 勒 - 罗 宾 本 身 的 原理 相当 简单 ， 甚 至 比索 洛 维 -斯 特 拉 森 检验 还 简单 。 

和 索 洛 维 -斯 特 拉 森 检验 一 样 ， 它 可 以 证 明 合 数 的 确定 性 ， 但 只 能 以 某 种 概率 说 明 素 数 
性 。 基 于 这 个 原因 ， 我 们 有 时 将 米 勒 - 罗 宾 作 为 一 个 合 数 性 检验 。 

设 n 是 正 奇数 ， 找 出 能 整除 n -1 的 最 大 方 徊 2”"， 则 令 n-1= 2 .m〔 所 以 m 是 奇数 ) 为 
了 发 现 

。 7 肯定 是 合 数 
或 者 对 上 个 满足 1 <b<n--1 的 整数 b 

。 nn 是 素数 的 概率 宇 1 (1/4)* 
对 所 选 的 每 个 b， 做 如 下 计算 : 

e 计算 b=b”%n 

e 如 果 b =+tlimodn， 停 止 : 这 个 b 是 n 以 宇 3/4 的 概率 是 素数 的 证 据 。 

。 否则 继续 ， 对 s<r ， 计 算 b,=(b,_1)%n 。 如 果 b,=--1modn， 停 止 ，n 以 宇 3/4 的 概 

率 是 素数 。b. =1modn (ss >1)， 整 个 过 程 终止 : nn 肯定 是 合 数 。 
e 如 果 b,b;,…,b, | 中 都 没有 一 个 是 一 1， 整 个 过 程 终 止 :， nn 肯 定 是 合 数 。 
。 如 果 所 选 的 每 个 b 都 说 明 n 以 宇 3/4 的 概率 是 素数 ， 则 我 们 设想 n 是 素数 的 概率 为 
1 一 (1/4)* ， 根 据 假 设 这 个 检验 中 相应 5 的 选取 是 相互 独立 的 。 

这 里 的 主要 思想 (也 就 是 概率 的 根据 ) 就 是 如 果 nn 是 合 数 ， 则 在 1<b5<n~1 范 围 中 至 少 
有 3/4 的 5 是 这 个 事实 的 证 据 。 和 索 洛 维 -斯 特 拉 和 森 检 验 一 样 , 证 明 有 这 么 多 的 证 据 需 要 进行 
其 他 准备 ， 所 以 我 们 把 这 件 事 留 待 后 面 讨论 。 


习题 


16.6.01 证 明 合 数 1281 对 基数 41 是 强 伪 素数 。 
16.6.02 证 明 合 数 1729 对 基数 10 是 强 伪 素数 。 
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16.6.03 证 明 合 数 3073 对 基数 1146 是 强 伪 素 数 。 

16.6.04 证 明 合 数 3201 对 基数 1163 是 强 伪 素 数 。 

16.6.0S 证 明 合 数 3585 对 基数 434 是 强 伪 素数 。 

16.6.06 证 明 合 数 5377 对 基数 848 是 强 伪 素数 。 

16.6.07 找 出 卡 米 克 尔 数 2465、2821 是 合 数 的 最 小 强 〈 米 勒 - 罗 宾 ) 证 据 。 





这 里 我 们 碰 到 了 抽象 代数 中 的 第 -个 例子 ， 而 不 是 高 中 所 学 过 的 有 形 代数 的 例子 。 这 样 
考虑 问题 主要 是 因为 这 是 尝试 直接 研究 事物 结构 的 方法 ， 而 不 去 参考 不 相关 的 特定 细节 。 

从 长 远 观 点 看 ， 这 可 以 达到 令 人 称 有 的 效果 ， 因 为 它 将 表明 类 似 这 样 的 结构 在 数学 中 反 
复出 现 。 因 此 ， 仔 细 研 究 这 些 基 本 的 结构 ， 可 以 使 我 们 掌握 不 同 现象 内 在 更 简单 并 且 更 统一 
的 本 质 。 


17.1 群 概念 


抽象 代数 中 最 简单 的 (但 可 能 不 是 直觉 上 最 直接 的 ) 研究 对 象 就 是 群 。 这 个 概念 已 深入 
现代 数学 了 。 许 多 看 似 初等 的 问题 仅仅 是 有 关 群 基本 事实 的 神秘 表现 。 这 一 点 在 初等 数论 中 
表现 得 尤为 明显 ， 许 多 结论 都 可 以 给 出 “初等 的 ”证 明 ， 但 这 样 的 证 明 却 需要 掌握 复杂 并 且 
容易 混淆 的 知识 。 
群 G 是 具有 被 称 为 单位 的 特殊 元 素 、 定 义 了 运算 g*h 并 且 满 足 如 下 性 质 的 集合 : 
。 存在 单位 元 素 ， 即 对 所 有 的 geG,， erg=g*e=g; 
。 存在 逆 元 素 ， 即 对 所 有 的 geG， 存 在 heG (8 的 逆 元 素 ) 满足 g*h=h*g=e; 
。 结合 律 ， 对 所 有 的 x,y,zeEG,， x*(y*2z)=(x*y)*Z。 
如 果 运 算 g* 有 h 是 可 交换 的 ， 即 如 果 g*h=h*g， 则 称 这 样 的 群 是 阿 贝 尔 群 《因数 学 家 
N.H.Abel 而 得 名 )。 这 时 ， 通 常 将 运算 记 为 加 法 (但 不 总 是 这 样 )。 如 果 运 算 记 为 加 法 ， 则 群 
的 单位 e 记 为 0 。 
在 许多 情况 下 ， 群 的 运算 还 记 为 乘法 的 形式 ， 如 g *h= gh= gh。 这 也 不 排除 群 的 运算 
是 可 交换 的 情况 ， 只 是 需要 注意 这 里 并 没有 假设 群 就 是 阿 贝尔 群 。 如 果 群 的 运算 记 为 乘法 ， 
则 其 单位 e 就 记 为 1。 通 常 当 群 的 运算 简单 地 记 为 乘法 时 ， 群 的 元 素 g 的 逆 元 素 就 表示 为 
8 的 道 元 素 = gg 
如 果 群 的 运算 记 为 加 法 时 ， 群 的 元 素 g 的 逆 元 素 就 表示 为 
8 的 逆 元 素 =-8 
除非 我 们 能 够 证 明 群 的 每 一 个 元 素 确实 存在 一 个 逆 元 素 ， 和 否则 这 种 记 法 可 能 是 不 合适 的 。 
在 下 面 的 每 一 个 例子 中 ， 容 易 验证 它们 满足 群 的 几 个 必要 性 质 ， 我 们 只 需要 验证 它们 的 
单位 和 逆 元 即 可 。 
e 整数 集合 乙 ， 运 算 为 通常 的 加 法 +。 单 位 元 为 0 ， 任 一 元 素 x 的 逆 元 素 为 -x 。 该 群 为 
阿 贝 尔 群 。 

e。 偶 整数 集合 2Z， 运 算 为 通常 的 加 法 +。 单 位 元 为 0 ， 任 一 元 素 x 的 逆 元 素 为 -xz 。 该 群 
为 阿 贝尔 群 。 

e 整数 中 7 的 倍数 组 成 的 集合 7Z， 运 算 为 通常 的 加 法 +。 单 位 元 为 0， 任 一 元 素 x 的 道 
元 素 为 -x 。 该 群 为 阿 贝尔 群 。 
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。 整数 模 凡 的 集合 乙 / m， 运 算 定义 为 模 m 加 法 。 单 位 元 为 0 模 m ， 任 一 元 素 * 的 逆 元 
素 为 (_) 模 加 。 该 群 为 阿 贝 尔 群 。 

。 整数 模 六 且 与 m 互 素 的 整数 集合 Z/m*， 运 算 定义 为 模 m 乘 法。 单位 元 为 1 模 m 。 在 
这 个 例子 中 ， 不 熟悉 模 m 运算 的 人 可 能 认识 不 到 存在 乘法 送 元 素 。 实际 上 我 们 可 以 通 
过 了 欧 几 里 得 算法 计算 出 来 。 所 以 这 是 首 个 非 平凡 的 例子 。 该 群 是 阿 贝尔 群 。 

。 维 实数 空间 R" 中 向 量 的 集合 ， 运 算 定 义 为 向 量 加 法 。 单 位 元 则 为 0 向 量 ， 逆 元 素 为 
向 量 的 负 向 量 (注意 ， 这 里 我 们 名 咯 了 存在 标量 乘法 这 一 事实 )。 

。2x2 可 道 实 矩阵 的 集合 GL(2,R)， 运 算 定义 为 矩阵 乘法 。 单 位 元 为 2x2 单位 矩阵 
E | ， 闻 元 于 的 存在 人 是 显然 的 。 短 隆 和 法 的 结合 律 从 定义 可 能 不 是 和 明显 ,但 可 
用 手工 检验 或 者 由 更 深 的 原理 推导 出 来 。 两 个 可 逆 和 矩阵 的 乘积 是 可 逆 的 这 一 事实 是 有 
趣 的 ， 假 设 g 少 均 有 相应 的 道 矩 阵 g-! 入!， 则 所 'g-1 是 gh 的 道 矩阵 。 这 个 群 当然 
不 是 阿 贝尔 群 。 

。 置 换 的 集合 构成 群 ， 运 算 定义 为 置换 的 合成 。 单 位 置换 就 是 该 群 的 单位 元 ， 因 为 置换 
是 映射 ， 结 合 律 自 然 满 足 。 如 果 该 置换 集合 的 元 素 多 于 两 个 ， 则 该 置换 群 当然 就 是 丰 
阿 贝尔 群 


.。 集合 S 到 自身 的 双 射 函数 的 集合 构成 一 个 群 ， 运 算 定 义 为 函数 的 合成 。 单 位 元 就 是 函 


数 e ， 它 将 每 一 个 元 素 映射 到 自身 ， 即 对 所 有 的 se S$ ，e(s)=s (注意 ， 这 个 例子 仅 
仅 是 比 前 面 置换 群 的 例子 更 一 般 的 情况 )。 


习题 


kr 


17.1.01 证 明 在 任意 的 群 G 中 ， 对 任意 元 素 有 hx,yeG， 都 有 
hCG) = (hch DO) 
17.1.02 用 归纳 法 证 明 在 任意 的 群 G 中 ， 对 任意 的 元 素 g,heG 和 任意 的 整数 nn, 下 式 成 


: he"h!=(hgh!y.。 


17.1.03 构造 Z /4 的 加 法 表 和 QZ/ 5* 的 乘法 表 。 
17.1.04 为 什么 集合 {1,2,3,4,5} 加 上 模 6 乘法 运算 不 构成 群 ? 
17.1.05 用 归纳 法 证 明 在 任意 的 阿 贝 尔 群 G 中 ， 对 所 有 元 素 g,he G 和 所 有 的 正 整 数 n， 


都 有 (gh)” = g"h”。 


17.1.06 证 明 在 某 个 群 中 当 且 仅 当 gh=hg，(gh)? = g212 。 
17.1.07 证 明 (gh) -= Ag 。 
17.1.08 证 明 当 且 仅 当 gh=hg，(gh) "=g-1h'!。 


17.2 子 群 


子 群 是 群 的 一 个 子 集 , 它 保持 了 和 群 的 运算 性 质 。 对 于 群 G 的 一 个 子 集 瓦 ， 如 果 在 群 G 的 


运算 下 它 是 一 个 群 ， 则 称 五 是 G 的 一 个 子 群 。 


这 也 就 是 说 ， 如 果 矿 包含 单位 元 素 ee G， 如 果 矿 包含 它 所 有 元 素 的 逆 元 素 ， 并 且 如 果 


五 包含 它 任意 两 个 元 素 的 乘积 ， 则 及 就 是 一 个 子 群 。( 运 算 的 结合 律 在 这 里 是 有 保证 的 ， 因 
为 G 本 身 是 一 个 群 ， 它 的 运算 是 满足 结合 律 的 。) 
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另 一 个 解释 则 是 : 如 果 ee 万 ， 并 且 如 果 对 所 有 的 he 五 ， 其 逆 元 素 扩 ! 也 属于 瑟 ， 此 外 
对 所 有 的 有 ,及 e 石 ，hb 也 属于 五 ， 则 三 是 一 个 子 群 。 

另 一 个 更 简洁 的 解释 是 ; 如果 ee 五 ， 并 且 对 所 有 的 及, 加 e 且 ，h 有 ”也 属于 矿 ， 则 五 
是 G 的 一 个 子 群 。( 如 果 我 们 取 矶 =e， 则 后 面 的 条 件 就 确保 了 逆 元 素 的 存在 .。) 

此 时 ， 我 们 通常 可 以 认为 HH 对 求 逆 是 封闭 的 并 且 对 群 的 运算 是 封闭 的 。 

例如 ， 所 有 偶 整 数 集 合 是 整数 加 法 群 的 一 个 子 群 。 更 一 般 地 ， 对 于 给 定 的 整数 m ， 所 有 
m 的 倍数 组 成 的 集合 玉 就 是 整数 加 法 群 的 一 个 子 群 。 我 们 来 验证 这 一 结论 , 首先 单位 元 0 是 
m 的 倍数 ， 所 以 0e 矿 。 对 任意 两 个 被 m 整除 的 整数 x,y， 可 以 记 x=ma,y=mb，a 和 4b 是 
整数 ， 则 根据 上 述 比较 简洁 的 解释 ， 我 们 有 

x-y=ma-mb=m(a-b)eH 

故 瑟 对 求 逆 是 封闭 的 并 且 对 群 的 运算 是 封闭 的 。 因 此 它 也 是 己 的 一 个 子 群 。 


习题 


17.2.01 验证 于 = {0-mod-8，2-mod-8，4--mod-8，6 一 mod-8} 是 Z/8 加 法 群 的 一 
个 子 群 。 

17.2.02 验证 2 的 方 罕 模 7 的 集合 是 乙 / 六 的 一 个 子 群 。 

17.2.03 证 明和 群 G 的 两 个 子 群 二 和 KK 的 交集 互 介 K 仍 是 G 的 一 个 子 群 。 

17.2.04 证 明 在 一 个 阿 贝 尔 群 G 中 ,对 于 一 个 给 定 的 整数 hn, 集合 X,={g|g eG,e”=e} 
是 G 的 一 个 子 群 。 

17.2.05 求 Z/16 (加 法 ) 的 所 有 5 个 不 同 的 子 群 。 

17.2.06 求 Z/24 〈 加 法 ) 的 所 有 8 个 不 同 的 子 群 。 

17.2.07 群 Z/30 有 8 个 子 群 ， 请 将 它们 全 部 找 出 来 。 


17.2.08 验证 GL(2,Q) 中 形 如 8 1 《 即 左 下 角 和 右上 角 元 素 为 0 ) 的 矩阵 组 成 的 集 
合 是 GL(2,Q) 的 一 个 子 群 。 

172.09 验证 GrC.O) 中 形 如 8=| ( 即 左下 角 元 素 为 0 ) 的 矩阵 组 成 的 集合 是 
GL(2,Q) 的 一 个 子 群 。 
17.3 ” 拉 格 朗 日 定理 


本 节 的 定理 是 群 论 作为 结构 计数 (structured counting) 应 用 的 最 简单 的 例子 。 尽 管 本 节 
的 讨论 完全 是 抽象 的 ， 但 它 将 给 出 欧 拉 定理 的 最 简单 的 证 明 方法 。 有 限 群 就 是 包含 有 限 个 元 
素 的 群 。 有 限 群 的 阶 就 是 该 群 所 含 元 素 的 个 数 。 有 时 我 们 用 |G| 表 示 群 G 的 阶 。 在 本 节 中 ， 
我 们 就 将 群 的 运算 简单 地 记 为 乘法 。 

定理 〈 拉 格 朗 日 ) ”G 是 一 个 有 限 群 ，H 是 G 的 一 个 子 群 ， 则 五 的 阶 整除 G 的 阶 。 

为 了 证 明 这 个 定理 ， 我 们 需要 了 解 一 些 概念 ， 这 几 个 概念 在 后 面 还 会 用 到 。 对 群 G 的 一 
个 子 群 石 ，g e G， 则 由 g 所 形成 的 五 的 左 陪 集 或 左 平移 为 

gH ={gh:heH} 

类 似 地 ， 由 g 所 形成 的 五 的 右 陪 集 或 右 平移 为 
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He = {he:heH} 

证 明 首先 我 们 将 证 明石 的 所 有 左 陪 集 的 集合 是 G 的 一 个 划分 ， 这 也 意味 着 G 的 每 一 
个 元 素 都 存在 于 万 的 某 个 左 陪 集中 ， 并 且 如 果 两 个 左 陪 集 xH 和 yH 的 交 不 为 空 ， 则 必 有 
xH = yH 。( 注 意 这 并 不 意味 着 x=y ) 

因为 x=xeexH， 所 以 G 的 每 个 元 素 都 存在 于 五 的 某 个 左 陪 集中 。 

现在 我 们 假设 对 x,yeG，xHNyH 名 ， 那么 就 存在 hh,h e 日 使 得 xh = yh,。 给 这 个 等 
式 两 边 同 时 右 乘 户 ”得 到 

CPP =Oj)jo 


上 述 等 式 的 右边 可 以 化 简 为 
Yh) =y(hh) 由 结合 律 ) 
=y.e . 由 逆 元 性 质 ) 
=y (由 单位 元 性 质 ) 


为 了 描述 简便 ， 令 z = hh, ， 由 G 的 结合 律 
y= (xh)h =x(hls')=xz 
因为 五 是 一 个 子 群 ，ze 厂 ， 则 
yH={yh:heH}={(x)h:heéeH)}= {x(zh) :heHh} 
一 方面 因为 态 对 乘法 是 封闭 的 ， 所 以 对 于 每 一 he 及 ， 乘 积 zh 仍 含 于 矿 中 。 因 此 
yH={x(zh):heH}c {xh :ih eH}=xH 
尽 而 有 yH cx ,但 由 于 x 和 yy 之 间 的 关系 完全 是 对 称 的 , 因此 有 xH c yH ,于 是 有 xH=yH。 
( 换 句 话说 ， 我 们 已 经 证 明 G 中 五 的 左 陪 集 真正 实 现 了 对 G 的 划分 ) 
接 下 来 我 们 将 证 明 五 的 左 陪 集 的 基数 都 是 相同 的 。 为 了 得 到 这 一 结论 , 我 们 将 证 明 对 任 
意 的 xeG， 存 在 一 个 万 到 x 的 双 射 。 特 别 地 ， 定 义 
Js) = zx 
《很 显然 这 个 映射 将 已 英 射 到 了 xH ) 其 次 ， 我 们 将 证 明 单 射 性 : 如果 f(g)= f(g”)， 即 
xXg = xXg" 
两 边 左 乘 以 x"! 则 得 到 
x (xg)=x (xg") 
运用 结合 律 得 到 
(x x)g=(x x)g 
再 利用 首 元 素 的 性 质 x x=e 得 到 
eg =eg" 
由 单位 元 的 性 质 ， 有 eg = g 和 eg' = g'， 进 而 得 到 g = 8' ， 也 就 证 明 映 射 满足 单 射 性 。 至 于 满 
射 性 ， 由 上 的 定义 有 
f(D) = xh 
因此 ，x 玉 中 的 任何 元 素 均 有 五 中 的 一 个 元 素 与 之 对 应 。 这 样 我 们 就 证 明了 /的 双 射 性 ， 也 
就 是 说 瑟 的 所 有 左 陪 集 与 五 本 身 都 有 相同 个 数 的 元 素 。 
所 以 G 就 是 昌 的 所 有 不 同 左 陪 集 “任何 两 个 都 不 相交 》 的 并 集 。 设 i 是 互 的 不 同 左 陪 
集 的 个 数 ， 我 们 已 经 知道 万 的 每 个 左 陪 集 均 有 | 五 | 个 元 素 ， 因 此 可 以 计算 G 中 的 元 素 个 数 ， 
即 有 


1G|= 陪 集 基数 的 和 = 六 | 妃 | 


上 面 等 式 的 两 边 都 是 整数 ， 因 此 | 鼠 | 整 除 |1G| ， 定 理 得 证 。 全 
习题 


17.3.01 假设 一 个 有 限 群 G 分 别 有 一 个 阶 为 16 的 子 群 石 和 一 个 阶 为 35 的 子 群 K ， 证 明 
HNK={}。 

17.3.02 证 明 阶 为 101 的 群 除了 自身 和 出 外 没有 其 他 子 群 。 

17.3.03 证 明 阶 为 1009 的 群 除了 自身 和 全 外 没有 其 他 子 群 。 


17.4 子 群 的 指标 


我 们 在 拉 格 朗 日 定理 的 证 明 中 引入 了 陪 集 的 概念 ， 现 在 可 以 定义 子 群 的 指标 。 设 G 是 一 
个 群 ， 石 是 G 的 一 个 子 群 ， 瑟 在 G 中 的 指标 就 是 G 中 五 的 《 左 ) 陪 集 的 个 数 ， 记 为 [G: 且 。 

推论 〈 拉 格 朗 日 定理 的 推论 ) 对 一 个 有 限 群 G 及 其 子 群 H,，|GEE[G:HIIH|。 

证 明 ”这 个 证 明 仅 仅 是 拉 格 朗 日 定理 证 明 过 程 中 计数 的 简单 重复 , 我 们 已 证 明 G 是 琅 的 
左 陪 集 的 不 相交 的 并 集 ， 而 且 每 个 陪 集 都 有 | 五 | 个 元 素 。 因 此 ， 这 个 结论 就 是 用 另 一 种 方法 
对 G 中 的 元 素 进行 计数 。 . 

一 个 有 关 计 数 或 整除 性 原则 的 结论 是 如 下 的 子 群 指标 的 乘法 性 质 。 

命题 设 G 是 一 个 有 限 群 ， 矿 和 /7 是 G 的 子 群 ， 假设 五 I， 则 有 

[G6:71]=[6:8]:[# :1] 

证 明 群 G 是 1 的 [G: 了 | 个 左 陪 集 的 不 相交 并 集 ， 同 样 它 还 是 五 的 [G: 五] 个 左 陪 集 的 不 
相交 并 集 。 如 果 我 们 能 够 证 明 的 任何 左 陪 集 是 了 的 [ 玉 :1] 个 左 陪 集 的 不 相交 并 集 ， 则 该 命 
题 的 结论 也 就 得 以 证 明了 。 

设 gH ={gh:heH} 是 日 的 一 个 左 陪 集 ， 将 矿 表 示 为 1 的 [万 : 了 个 左 陪 集 的 (不 相交 ) 
并 集 ， 即 . 

H=hIUhIU: Uh nn! 
这 样 gH 就 可 表示 为 
gH=g(hIUbIU-…Unh #70) = ghIU ghIU-…Uenh ws:n! 
上 式 右 边 当 然 是 1 的 左 陪 集 的 并 集 。 我 们 还 需要 验证 1 介 h ,1 = 名 (iz# 站 即 意味 着 
ghl flgh,l = 
假设 ge gh 站 gh;I ， 则 对 某 个 iel 和 el 有 ghil=x= 8 六， 两 边 同 时 左 乘 以 8 则 得 到 
hi = 有 hz。 根据 假设 ，hi 是 1 的 元 素 ，hj 志 是 h1 的 元 素 , 但 我 们 已 经 假设 了 hI 站 hj1 = 忆 ， 
所 以 这 是 不 可 能 的 ,也 就 是 说 , 我 们 证 明了 这 个 结论 : 如 果 丸 1 门 有 1 = 名 , 则 有 ghI 站 ghj7 = 儿 ， 
这 也 就 完成 了 我 们 对 子 群 指标 乘法 性 质 的 证 明 。 和 
17.5 ”指数 定律 

应 当 指 出 的 是 ， 所谓 的 指数 定律 实际 上 并 不 是 “定律 ”而 是 指数 符号 的 一 些 可 证 明 的 性 

质 。 指 数 符号 本 身 也 是 非常 基本 的 ， 无 非 就 是 重复 乘法 的 一 个 缩写 。 


当然 ， 我 们 必须 确信 明确 指数 符号 ga”， 这 里 nn 是 整数 ，g 是 群 G 的 一 个 元 素 。 毕 况 这 仅 
仅 是 一 个 缩写 ， 首 先 ， 
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并 且 
2g"=g:g- se -8 n 宇 0) 
一 
1 -1 -1 -1 <0 
8 =8 ‘8 8 (n<0) 





还 有 一 个 更 加 准确 但 不 太 直 观 的 定义 g” 的 方法 ， 即 递归 定义 : 


e n=0 
8 =18.8 n>0 
gg n<0 


这 样 定义 便于 计算 和 证 明 其 他 的 结论 。 

下 面 我 来 验证 一 下 所 谓 的 指数 定律 : 

命题 《指数 定律 ) 8 是 群 G 的 一 个 元 素 ，m,n 为 整数 ， 则 下 面 两 个 等 式 成 立 : 

3 8 

e gs™=(g") 

证 明 最 显然 的 是 证 明 (g =g 。 注 意 ， 我 们 绝对 不 能 简单 引用 “指数 定律 ”来 证 明 
这 个 命题 。 实 际 上 ， 为 了 证 明 这 个 命题 ， 我 们 必须 认识 到 验证 x 的 逆 元 素 是 y 的 方法 就 是 去 
计算 xy 和 yx， 看 它们 是 否 都 等 于 单位 元 e。。 因 此 为 了 证 明 x "1! 的 逆 元 素 是 x ， 我 们 必须 计算 
x-ix 和 xx”"”， 实 际 上 根据 逆 元 素 的 性 质 这 两 个 都 等 于 单位 元 e 。 

这 里 还 要 用 到 x 的 逆 元 素 的 惟一 性 ， 让 我 们 来 证 明 这 一 点 。 假 设 y 和 2z 满足 x 的 逆 元 素 
的 性 质 , 即 yx =e 和 xz=e，, 给 yx=e 两 边 右 乘 以 z 得 到 (yx)z =ez=z， 运用 结合 律 以 及 条 件 
xz=e， 将 得 到 ye=z， 即 y=z。 

我 们 可 以 用 归纳 法 给 出 指数 性 质 的 证 明 , 但 这 可 能 有 一 点 见长 ， 也 没有 什么 新 意 。 我 们 
就 用 穷尽 的 方法 指明 为 什么 这 些 “ 定 律 ” 是 正确 的 。 比 如 ， 我 们 来 看 一 下 ， 对 非 负 整数 m,n ， 
为 什么 g”" =g".g" 成立。 


8 8 =(8 * ‘8)'(g: … ‘8&) 
一 人 
m n 
=(g- oo ‘g) 
A 
m+n 
一 8 


这 里 需要 注意 的 是 我 们 在 推导 过 程 中 多 次 用 到 了 结合 律 。 因 此 这 个 指数 “定律 ”最 多 也 就 是 
符号 的 性 质 。 我 们 再 看 看 为 什么 gw” = (8 六 成 立 : 
(ge”yY =g” 。 SB 
二 一 一 一 一 一 
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正 整数 指数 和 负 整 数 指数 组 合 的 情况 可 能 要 复杂 一 些 ， 但 方法 是 类 似 的 。 和 
17.6 ”循环 子 群 


对 群 G 的 一 个 元 素 g， 令 (g)= {g" :neZ}， 称 这 个 集合 为 由 g 生成 的 G 的 循环 子 群 。 

满足 g” =e 的 最 小 正 整数 上 《如 果 存 在 》 则 称 为 g 的 指数 或 阶 。 群 的 元 素 g 的 阶 通 常 记 
为 |g|， 这 里 我 们 又 用 到 了 术语 “ 阶 ” 但 在 后 面 我 们 会 看 到 这 些 用 法 是 一 致 的 。 

推论 (指数 定律 的 推论 ) 对 群 G 的 元 素 g，G 的 子 集 {g) 的 确 是 G 的 一 个 子 群 。 

证 明 ”结合 律 是 很 自然 的 。 对 群 运算 的 封闭 性 和 对 求 道 的 封闭 性 可 直接 由 指数 定律 得 
到 ， 过 程 如 下 。 首 先 ，g" 的 逆 元 素 刚 好 就 是 g“”， 这 是 因为 

g” ‘g™” 一 go =g° =e 

并 且 由 8g”.g ”= g”" 就 直接 验证 了 对 乘法 的 封闭 性 。 LS 

定理 设 g 是 群 G 的 一 个 元 素 ，7 是 g 的 阶 ， 则 gg 《作为 群 的 元 素 ) 的 阶 等 于 (8) 〈 作 
为 子 群 ) 的 阶 。 特 别 地 ， 有 (g) = {g",g ,8g ,…,8”'}。 一 般 情况 下 ， 对 于 任意 整数 ;j， 

g =g/ 当 且 仅 当 i 三 jmodn . 

证 明 ”定理 中 的 最 后 一 个 结论 章 涵 着 前 面 两 个 论断 ， 所 以 我 们 只 需 证 明 最 后 一 个 论断 。 

一 方面 ， 如 果 i 三 jmod n， 则 可 以 将 i 表示 为 i= 六 .7 并 计算 〈 利 用 指数 定律 )， 
8 =g "=g/.(g") =g/'e =gi.e=g’ 
另 一 方面 ,假设 g' = g/， 不 失 一 般 性 ， 如 果 必 要 时 i 和 j 可 以 互 换 ， 我 们 不 妨 假设 i 万 j ， 则 
由 g'=g’ 可 得 e=g/”'*。 利 用 约 简 /除法 算法 ， 可 将 j -i 表示 为 
j-i=qg:ntr 

这 里 0<r <7 由 此 即 有 e=g 盖 =g2o =(g")*.g =ed.8 =e:g' =g 。 由 于 nn 是 满足 g”=e 
的 最 小 正 整 数 ， 因 此 必 有 r=0， 即 n1( -站 ， 也 就 是 说 i j modn。 4 

推论 sg 是 有 限 群 G 的 一 个 元 素 ， 则 8g 的 阶 |g | 整除 群 G 的 阶 。 

证 明 我 们 已 经 证 明了 |g 上 |(g)|， 由 拉 格 朗 日 定理 ，|(g 整除 |G1， 结 论 得 证 。 . 
习题 

17.6,01 设 C 是 一 个 群 ，8g,PsG ， 并 且 18 上 30|pj= 77， 证 明 (8) 门 (及 = 人 。 

17.6.02 证 明 群 的 元 素 与 其 逆 元 素 有 相同 的 阶 。 

17.6.03 不 用 计算 证 明 在 群 Z/100 〈 加 法 ) 中 ， 元 素 1 和 9%9 有 相同 的 阶 ，11 和 89 也 有 相 
同 的 阶 。 

17.6.04 假设 对 某 个 正 整 数 e 有 x =1modn， 证 明 x-!modn 就 等 于 x !modn。 

17.6.05 计算 2x 2 实数 矩阵 群 GL(2,R) 中 两 个 行列 式 非 零 的 元 素 g,4h 的 阶 : 

0 -1 0 1 
eo 

并 计算 g, 产 的 乘积 gh 以 及 (gh)”,n 为 整数 ， 然 后 证 明 gh 是 无 限 阶 的 。 

17.6.06 设 G 是 一 个 有 限 群 ，n 是 G 的 元 素 的 阶 的 最 小 公 倍数 ， 证 明 对 所 有 的 geG, 有 
g"=e。 

17.6.07(*) 设 G 是 一 个 阿 贝 尔 群 , m,n 是 互 素 的 正 整数 。 令 g 是 一 个 阶 为 m 的 元 素 ，h 是 
一 个 阶 为 的 元 素 ， 证明 |g 放 = mn。 
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17.6.08 x 是 群 G 的 一 个 元 素 ， 假定 有 x =e 有 旦 x? 关 e， 证 明 x 的 阶 为 5 或 者 15。 

17.6.09 证 明 满 足 1<i<11 的 任意 整数 ; 都 是 整数 模 11 的 加 法 群 Z/11 的 一 个 生成 元 。 

17.6.10 验证 Z/8% 不 能 由 单个 元 素 生成 。 

17.6.11 证 明 , 如 果 群 G 的 元 素 g 的 阶 为 x 并且 4 是 n 的 一 个 因子 , 则 g”" "的 阶 为 4 。( 类 
似 地 ，gs 的 阶 为 n/a ) 


17.7 欧 拉 定理 


现在 我 们 回 到 数论 问题 的 讨论 ， 作 为 拉客 朗 日 定理 的 推论 ， 我 们 将 给 出 欧 拉 等 式 的 一 个 
简洁 且 概 念 化 的 证 明 ， 并 且 还 要 讨论 指数 定律 和 循环 子 群 的 问题 。 最 后 我 们 会 给 出 欧 拉 定理 
相对 精练 的 形式 。 

设 pg(n) 是 欧 拉 的 @ 函数， 它 对 满足 0<L 筷 nn 且 与 n 互 素 的 整数 《进行 计数 。 我 们 给 出 的 
证 明 是 从 欧 拉 原始 的 论据 中 提炼 出 来 的 。 

定理 设 n 是 一 个 正 整 数 ，xeZ 且 与 z 互 素 ， 则 xz =lmodm 。 

证 明 整数 模 n 且 与 n 互 素 的 集合 Z/r 有 p(n) 个 元 素 ， 由 拉 格 朗 日 定理 及 其 推论 ， 这 
就 意味 着 geZ/ 产 的 阶 大 能 整除 ON ， 因 此 wo] 就 是 一 个 整数 ， 于 是 


gt") 一 《gt 20 人 = er eo 


将 这 一 结果 运用 到 x- mod-z 上 便 得 到 定理 的 结果 。 生 

备注 ”这 一 方法 同时 也 给 出 了 费 马 定理 的 另 一 种 证 明 ， 只 不 过 此 时 ”为 素数 ， 不 用 提 及 
二 项 式 系数 。 

进一步 研究 欧 拉 定 理 的 证 明 ， 我 们 还 有 如 下 定理 ， 

定理 ” 设 n 是 一 个 正 整 数 ,xe2 且 与 ” 互 素 , 则 满足 刀 =1modza 的 最 小 指数 4 是 p(z) 的 
一 个 因子 。 也 就 是 说 x 在 乘法 群 乙 / 产 中 的 阶 是 wo(z) 的 一 个 因子 。 

证 明 与 前 面 证 明 过 程 一 样 ，x 的 阶 等 于 子 群 (x) 的 阶 , 由 拉 格 朗 日 定理 x 的 阶 就 是 整个 
群 Z/z 的 一 个 因子 。 和 


17.8” 群 的 指数 


我 们 可 以 使 软 拉 定 理 的 思想 运用 得 更 加 准确 和 精练 。 对 于 一 个 群 G 以 及 对 每 个 geG ， 
满足 g“ =e 的 最 小 正 整数 4 称 为 群 G 的 指数 。 是 否 存 在 这 样 一 个 正 整数 上 ， 单 单 从 定义 看 还 
不 明显 。 实 际 上 ， 对 于 无 限 群 G ， 这 样 的 4 不 存在 。 但 对 于 有 限 群 ， 仅 仅 一 个 有 限 性 就 可 以 
让 我 们 来 刻画 指数 。 

命题 设 G 是 一 个 有 限 群 , 则 G 的 指数 存在 , 而 且 G 的 指数 =|g| 的 最 小 公 售 数 ，g eG。 

证 明 ”如果 g*=e， 则 从 我 们 前 面 对 循 环 群 的 讨论 可 得 ，|g| 能 整除 六 。 另 一 方面 ， 如 
果 k=m|g|， 则 8g“=g”8l=(glsi)”m=e”=e。 因 为 G 是 有 限 的 ， 它 的 每 一 个 元 素 的 阶 也 是 
有 限 的 。 并 且 因 为 G 中 只 有 有 限 多 个 元 素 ， 那 么 它们 的 阶 的 最 小 公 倍数 M 也 是 存在 的 。 这 
样 对 所 有 的 geG， 必 有 g* =e 。 因 此 ， 群 G 必 有 指数 。 如 果 对 所 有 的 geG， 都 有 有 g* =e， 
则 天 就 能 被 6 的 所 有 元 素 的 阶 整除 ， 当 然 就 能 被 它们 的 最 小 公 倍 数 整 除 。 因 此 群 G 的 指数 实 
际 上 就 等 于 其 所 有 元 素 指 数 的 最 小 公 倍数。 全 

这 里 我 们 还 可 以 看 到 ， 拉 格 朗 上 明定 理 还 对 群 G 的 指数 具备 什么 样 的 性 质 作出 了 限 
制 。 
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推论 。 设 G 是 一 个 有 限 群 ， 则 群 G 的 指数 整除 G 的 阶 |G|。 
证 明 ”由 前 面 的 命题 , 群 G 的 指数 等 于 G 的 所 有 元 素 的 阶 的 最 小 公 倍 数 。 由 拉 格 朗 日 定 
理 ， 每 一 个 这 样 的 阶 都 是 |G| 的 因子 ， 一 个 固定 数 的 所 有 因子 的 最 小 公 倍 数 当然 还 是 那个 数 


的 一 个 因子 。 中 





在 本 章 对 协议 的 非 正式 和 介绍 性 讨论 中 ， 特 别 重 要 的 一 点 就 是 须 记 住 攻击 者 的 不 同类 
型 ， 至 少 我 们 要 区 别 被 动 的 独 听 者 和 主动 的 田 听 者 之 间 的 不 同 。 在 本 书 中 几乎 总 是 在 讨论 被 
动 的 铺 听 者 , 被 动 的 窃听 者 虽然 窃听 却 不 会 主动 去 中 止 通信 , 也 不 会 去 冒充 发 送 方 或 接收 方 ， 
或 者 同时 冒充 发 送 方 和 接收 方 。 关 于 主动 窃听 者 的 一 个 更 加 重要 的 问题 是 他 们 的 力量 到 底 有 
多 强大 。 被 动 的 窃听 者 的 力量 还 不 足以 去 主动 中 止 协议 或 者 毁坏 消息 ， 但 他 们 会 窃听 本 不 是 
发 给 他 们 的 通信 内 容 。 通 信 中 直接 涉及 的 各 方 可 能 出 于 多 种 原因 而 实施 欺骗 行为 ， 这 就 是 骗 
子 。 骗 子 也 根据 其 能 力 的 不 同 分 为 主动 骗子 和 被 动 骗子 。 在 存在 主动 窃听 者 的 情况 下 ， 要 想 
防御 能 力 非 常 强大 的 主动 骗子 就 愈加 困难 。 

许多 协议 只 能 保证 (甚至 是 非 正式 地 ) 成 功 抵御 相关 的 被 动 窃听 者 。 

在 许多 情况 下 ,预防 和 检测 之 间 是 存在 区 别 的 。 通常 预防 窃听 或 欺骗 要 比 只 检测 这 些 攻 
击 行为 更 加 困难 ， 因 此 任何 实际 的 系统 都 必须 包括 当 检 测 到 攻击 行为 时 如 何 防御 的 措施 ， 而 
不 是 简单 在 伴 装 能 够 防止 攻击 。 


18.1 基本 的 公 钥 协议 


这 也 就 是 人 们 常 说 的 公 钥 密码 术 的 基本 观点 ， 但 是 (正如 下 面 指出 的 那样 ) 为 了 能 够 利 
用 它 ， 仍 需要 很 多 的 知识 。 这 里 概述 的 结构 将 用 于 RSA 公 钥 体制 和 ElGamal 型 公 钥 体制 。 

Alice 公开 其 公开 密 钥 Kb， 则 任何 想 生 成 一 个 只 能 由 Alice 解读 的 明文 x 的 人 将 用 下 式 
生成 一 个 密 文 y : 

y= Ex (x) 
然后 这 条 消息 通过 不 安全 的 信道 传送 给 Alice。 假 设 除 了 Alice 外 没有 任何 人 拥有 解密 密 钥 
(私有 密 钥 )， 并 且 假 设 密 钥 空间 足够 的 大 (并 且 没 有 弱点 )， 那 么 只 有 Alice 能 够 解密 ， 当 

然 解密 时 Alice 使 用 了 她 的 私有 密 钥 。 


这 个 结构 中 的 一 个 明显 的 缺陷 就 是 发 送 方 可 能 伪装 成 另外 一 个 人 ， 而 Alice 没有 任何 简 
单 的 方法 去 检验 这 一 点 。 因 为 她 的 公 钥 和 模 数 是 公开 的 ， 尽 管 只 有 Alice 能 读 懂 加 密 的 消息 ， 
但 任何 人 都 可 能 发 送 消 息 。 那 么 能 够 证 明 发 送 方 身份 的 东西 就 是 签名 ， 这 个 签名 包含 着 某 些 
不 可 伪造 的 东西 ， 它 将 证 明 没有 任何 其 他 人 能 够 发 送 它 。 

另 一 个 缺陷 就 是 攻击 者 Eve 可 能 首先 假冒 Alice， 企 图 破坏 协议 结构 ， 它 会 公布 一 个 公 
钥 ， 对 应 的 私 钥 由 她 自己 持 有 ， 而 非 Alice。 然 后 ， 如 果 Eve 能 够 截取 发 给 Alice 的 邮件 ， 她 
就 可 以 解密 邮件 而 后 以 Alice 的 名 义 做 出 回复 。 同 时 Eve 也 不 会 让 Alice 看 到 原本 发 给 她 的 邮 
件 ，Eve 甚至 可 以 伪造 某 些 似是而非 的 邮件 ， 使 Alice 不 会 产生 怀疑 。 在 最 近 发 表 的 一 些 文 
章 中 ， 人 们 发 现 Eve 可 以 伪造 发 送 方 的 公 钥 ， 然 后 自己 截取 并 解密 由 Alice 发 送 给 发 送 方 的 
加 密 消 息 。 也 就 是 说 ，Eve 使 Alice 和 Bob 之 间 的 通信 发 生 “ 短 路 ” 对 Alice 而 言 ， 她 伪装 
成 了 Bob， 对 Bob 而 言 ， 她 则 伪装 成 了 Alice。 这 实际 上 也 是 一 种 中 间 人 攻击 。 
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进一步 深入 讨论 这 个 问题 ， 我 们 将 发 现 这 实际 上 已 变 成 了 Eve 和 Alice 相互 竞争 以 “证 
明 ” 谁 是 真正 的 Alice。 实 际 情况 是 消息 的 发 送 方 可 能 只 知道 Alice 是 在 线 的 一 个 人 ，Eve 假 
冒 Alice 之 名 所 公布 的 公 钥 与 Alice 自己 真正 的 公 钥 却 是 难以 区 别 的 。 

认证 公 钥 的 一 种 方法 就 是 利用 认证 机 构 (CA)， 这 是 一 个 可 信赖 的 实体 ， 它 不 会 撒谎 ， 
它 将 检验 某 个 公 钥 真正 所 属 的 特定 实体 。 当 然 这 还 是 一 个 不 准确 的 概念 。 目 前 许多 WEB 浏 
览 器 已 经 使 用 了 这 样 的 认证 机 构 ， 使 所 谓 的 安全 交易 依赖 于 认证 证 书 。 

另 一 种 主动 窃听 涉及 时 间 安 排 问题 ， 一 个 主动 的 攻击 者 可 以 截取 一 条 消息 并 在 稍 过 一 会 
后 重新 发 送 。 或 者 类 似 地 ， 一 条 消息 稍 后 可 以 被 复制 和 重 放 一 次 或 多 次 。 这 些 问 题 促 使 人 们 
在 消息 中 使 用 时 间 稚 ， 这 样 收 方 就 能 够 检测 到 这 些 攻击 。 但 是 网 络 的 普遍 不 可 预测 性 使 这 些 
问题 比 我 们 所 希望 的 要 复杂 的 多 。 

因此 ， 仅 有 一 个 基本 的 公 铀 协议 还 是 远 远 不 够 的 。 证 书 认证 机 构 的 解决 方案 仅 是 一 种 补 
救 ， 但 可 能 没有 比 这 更 好 的 方法 了 。 


18.2 “Diffe-Heliman 密 钥 交换 


Diffie-Hellman 密 钥 交换 既是 最 初 的 公 钥 密码 的 思想 ， 也 是 目前 所 使 用 的 一 个 重要 机 制 。 
其 实用 的 依据 在 于 对 称 密码 通常 比 非 对 称 密码 速度 要 快 〈《 对 硬件 和 软件 而 言 )， 因 此 公 钼 密 
码 仅 用 来 确立 一 个 私有 密 铀 ， 即 会 话 密 铀 ， 它 仅 用 于 一 次 会 话 。 

这 个 协议 利用 了 离散 对 数 的 特点 ， 当 然 还 有 相关 的 计算 离散 对 数 的 困难 性 。 因 此 ， 它 不 
仅 能 在 ZWp 上 离散 对 数 的 情形 下 运行 ， 而 且 能 够 推广 到 任意 的 有 限 域 、 椭 园 曲 线 或 者 其 上 离 
散 对 数 有 意义 的 任意 群 结构 上 。 

首先 ，Alice 和 Bob 协商 一 个 大 素数 m 和 一 个 模 m 的 本 原 根 g ， 这 两 个 值 不 必 保 密 ， 并 
且 可 以 被 一 组 用 户 共享 。Alice 选择 一 个 大 的 随机 整数 x ,秘密 地 计算 全 = g"%m ， 并 将 大通 
过 可 能 不 安全 的 信道 发 送 给 Bob。 同 时 ，Bob 选择 一 个 大 的 随机 整数 > ， 秘 密 地 计算 
了 = g?%m ， 并 将 了 通过 可 能 不 安全 的 信道 发 送 给 Alice。 

然后 ，Alice 秘密 地 计算 k= 了 7 了 *%m ， 同 样 Bob 秘密 地 计算 k=XXY%m 。 实 际 上 ， 
k=kmodm ， 这 是 因为 k=X7=(g*)=g”=(g”》*=kmodm。 但 是 网 络 中 的 其 他 任何 人 都 
不 能 得 到 kk， 除非 他 能 计算 离散 对 数 。 然 后 密 钥 (= 人) 就 可 以 直接 或 间接 地 用 作对 称 密码 的 
密 钥 。 

出 于 安全 性 的 考虑 , 素数 模 数 m 应 当 很 大 , 并 且 m 应 该 是 一 个 强 素数 , 这 就 要 求 m--1 也 
应 当 被 一 个 相当 大 的 素数 整除 。 我 们 可 以 想象 m 为 Sophie Germain 素数 是 一 种 较 好 的 选择 ， 
这 意味 着 (mm -1D/12 也 是 素数 。 但 是 ， 这 类 素数 相对 于 整个 素数 来 说 分 布 得 比较 稀 朴 。 它 们 与 
挛 生 素数 〈 如 果 了 是 素数 ， 则 疡 +2 也 是 素数 ) 一 样 少 。 目 前 我 们 还 不 知道 是 否 存 在 无 限 多 
个 Sophie Germain 素数 〈 也 不 知道 是 否 存 在 无 限 多 个 挛 生 素数 )。 

实际 上 协议 并 不 真正 需要 g 是 一 个 本 原 根 , 仅仅 《出 于 安全 性 考虑 ) 要 求 它 能 生成 /rr 
的 一 个 子 群 ， 使 攻击 者 也 不 能 计算 相关 的 “对 数 ”。 

在 这 些 协议 的 许多 版 本 中 ， 第 一 个 版 本 容易 受到 主动 攻击 者 的 中 间 人 攻击 : 一 个 主动 
的 窃听 者 可 能 截取 Alice 发 给 Bob 的 消息 以 及 Bob 发 给 Alice 的 消息 ,她 用 自己 的 消息 替换 
这 些 消 息 ， 并 分 别 单独 与 Alice 和 Bob 完成 一 个 Diffie-Hellman 交换 ， 而 且 还 维持 了 一 种 假 
像 -一 -Alice 和 Bob 直接 进行 了 通信 。 如 果 Alice 和 Bob 事前 真 的 没有 联系 ,并 因此 没有 别 的 
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方法 相互 验证 对 方 的 身份 ， 则 很 难 防止 各 种 假冒 攻击 。 
这 个 协议 及 其 拓展 由 公 钥 合伙 人 申请 了 专利 ， 但 该 专利 已 于 1997 年 4 月 29 日 过 期 。 


18.3 ”秘密 共享 


本 节 我 们 将 给 出 一 种 数学 机 制 ， 它 保证 在 协议 中 只 有 当 足 够 多 的 一 组 成 员 〈 不 必 是 所 有 
成 员 ) 达成 一 致 时 才能 共享 一 个 秘密 。 实 现 这 个 协议 的 机 制 称 为 门限 方案 。 

下 面 我 们 来 陈述 秘密 共享 问题 ， 在 秘密 共享 的 实际 实现 中 ， 可 能 要 附加 上 涉及 公 钥 算法 
的 指定 协议 以 及 相关 的 设备 ， 有 具体 是 : 给 定 一 个 在 ! 个 人 4, 少 , 汪 中 大 -共享 的 秘密 x， 
并 给 4 分配 部 分 信息 wa ， 这 样 就 有 

e 4 知道 a 〈 但 不 是 mo ， 对 了 zi ) 

。 由 任何 大 -1 个 部 分 信息 a; 中 不 能 恢复 出 秘密 x 的 任何 一 部 分 

。 由 任何 k 个 部 分 信息 a 很 容易 计算 出 秘密 x 

也 就 是 说 ， 在 共享 秘密 的 :个 实体 中 ， 至 少 有 大 个 联合 起 来 才能 恢复 秘密 。 对 于 一 个 给 
定 的 数 : 和 一 个 给 定 的 秘密 x， 实 现 上 述 目 标的 一 个 部 分 信息 清单 a,a,,…,a 称 为 一 个 (k,#) 
门限 方案 。 这 种 方案 最 简单 的 例子 使 用 了 孙子 定理 〈 即 中 国 剩余 定理 )， 具 体 如 下 : 

设 m,m,,…,m 是 大 于 1 且 两 两 互 素 的 整数 ， 设 a,a,,…,a 是 整数 ， 令 M = mim,…m,， 
M;=M/m;，n; = Mi "modm;。( 因 为 对 ji，m; 和 m; 互 素 ， 由 因 式 惟一 分 解 定理 以 及 M,， 
是 与 m 互 素 的 多 个 整数 的 乘积 ，m, 和 M; 互 素 。 因 此 其 乘法 逆 元 素 存在 且 容 易 可 由 欧 几 里 得 
算法 计算 得 到 ) 此 时 ， 作 为 孙子 定理 的 一 个 简洁 形式 ， 如 下 + 个 同 余 式 

x=a modm,, 对 所 有 的 i =1,…,t 
等 价 于 下 面 这 个 同 余 式 


= Daln modM 


对 固定 的 上 ，1 和 上 过 !， 全 成 为 4 个 不同 的 由 的 最 小 乘积 ，h_| 表示 一 1 个 不 同 的 mm 的 

最 大 乘积 。 比 如 ， 如 果 m < ma <…<m,， 则 
Hi = mm mm 
hi = mam +3 "IN, 

我 们 必须 假设 甩 ; 大 于 及 .I ， 特 别 地 ， 我 们 设 环 SN 4h, NN 为 某 个 非常 大 的 正 整数 。 

定理 ”对 于 任何 可 表示 为 区 域 及 <x<HHk 内 的 一 个 数值 的 秘密 x ， 令 a =x%m, ， 则 集 
合 {al,ay,…,ay} 是 x 的 一 个 (k,7) 门限 方案 。 

备注 ”如 果 模 数 mm 较 大 且 相 互 接近 ， 则 安全 性 最 好 。 这 一 点 可 由 证 明 过 程 看 出 来 。 

证 明 假设 aapal 已 知 ， 令 MI = mm…m， Mi!=M'/m;，1 福 < 。 再 令 
n=M, modm,, 1<i<k, 令 


x ,= Ya Mn, modAf 
i=] 
则 有 “(如同 在 孙子 定理 中 ) x =xmodM'。 因 为 M'>H, >x， 秘 密 x 已 经 模 MM' 简 化 了 ， 故 
秘密 x 可 以 用 x=x%M' 来 计算 (这 里 不 必 假 设 m < m, <… < m, )。 
另 一 方面 ， 假设 只 有 al,ay,…,ar 是 已 知 的 ， 令 M'= mm ls M;=M'/m, 9 
1<i<k-1。 再 令 n=M; modm,，1<i<k-1。 令 
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kl 
aMin,; mod M' 
i=l 
同 前 面 一 样 ， 因 为 M'=m…mx4， 所 以 
Xx = Xxmod mm m1 
我 们 已 经 知道 加 my…mi_j 志 及 1， 因为 及 <x< Hi 并 且 〈 由 假设 》 
(Hi -hiD/h>N 
则 对 ymod M' 至 少 存 在 入 种 可 能 性 ， 故 x'=ymod M' 。 因 此 只 有 大 -1 个 a 当然 不 足以 还 原 
出 秘密 x 。 全 
为 了 构建 使 用 这 种 数学 机 制 的 环境 ， 我 们 可 以 假设 存在 一 个 可 信 的 中 间 机 构 ， 它 持 有 秘 
密 x ， 知 道 模 数 m,， 能 够 计算 门限 方案 数值 a1,…,a,,， 它 还 能 够 通过 安全 的 方式 将 a 发送 给 
实体 4。 余下 工作 的 就 是 构造 一 个 协议 ， 它 允许 t 个 实体 中 的 个 共享 他 们 信息 而 没有 任何 
人 行 骗 ， 或 者 至 少 没有 检测 到 欺骗 行为 。 这 本 身 就 是 一 个 非常 不 简单 的 问题 。 


18.4 不 经 意 传输 


这 一 节 我 们 来 介绍 另外 一 些 也 是 比较 常见 的 协议 ， 在 这 些 协议 中 没有 相互 信任 的 仲裁 
人 .一 个 简单 的 例子 就 是 ，Ajice 有 一 个 秘密 ， 她 希望 以 这 种 方式 传送 给 Bob， 即 当 协 议 完成 
之 后 ，Alice 自己 不 知道 Bob 是 否 真 正 收 到 了 这 个 秘密 ， 但 是 Bob 知道 。 

一 个 目的 更 明确 也 更 复杂 的 这 类 协议 是 : Alice 持 有 多 个 秘密 ,并 且 希 望 将 其 中 之 一 以 这 
种 方式 传送 给 Bob， 妈 事后 只 有 Bob 知道 秘密 的 确 传 过 来 了 。 如 果 Bob 不 想 通 过 直接 承认 他 
不 知道 一 个 或 多 个 秘密 而 使 自己 陷入 嫉 粹 ， 那 么 这 就 比较 有 意义 的 。 

对 于 简单 的 情况 ， 我 们 将 假设 这 个 简单 的 秘密 是 大 数 n= pg 的 分 解 ， 这 里 nn 是 两 个 大 素 
数 p,q 的 乘积 ， 而 且 p,q 满足 p=3mod4 和 gq =3mod4 。 这 个 假设 是 非常 普通 的 ， 因 为 任何 
其 他 秘密 可 以 用 模 数 为 n 的 RSA 体制 加 密 ， 那 么 只 有 知道 分 解 才能 解密 并 揭露 秘密 。 在 稍 
微 复杂 一 些 的 情况 之 中 ， 我 们 将 用 离散 对 数 的 难 解 性 来 代替 大 数 分 解 的 困难 性 。 

我 们 还 要 用 到 这 样 的 结论 ， 即 已 知 x,y 满 足 x*=y modn，, 但 x+tymodn， 则 nn 可 以 被 
分 解 。 证 明 如 下 : 由 x? = ymodn 可 得 (x 一 y)(x+y)=0modn ,但 是 因为 x#+tymodn, 则 x 一 y 
和 x+y 模 n 都 不 为 0。 即 能 整除 (x y)(x+y)， 但 不 能 整除 x-y， 也 不 能 整除 z+ y。 另 
一 方面 ,. 因为 p 能 整除 (x 一 y)(x+y)， 则 它 必定 整除 x 一 y 和 x+y 中 的 一 个 (或 同时 整除 两 
个 )。 同 理 g 也 是 这 样 。 又 因为 不 能 整除 x-y 和 x+y 中 的 单个 因子 ， 则 必 有 p 整除 这 两 个 
因子 中 的 一 个 而 9 整除 另外 一 个 。 因 此 ， 利 用 欧 几 里 得 算法 计算 gcd(n,x 一 yy) 将 得 到 pp 或 g: 
实际 , 不 论 gcd(n,x-y) 是 什么 , 它 不 能 被 4 整除 , 但 可 以 被 p 或 g 整除 。 因为 p 和 4g 是 素数 ， 
且 n= pq ， 则 由 惟一 分 解 定理 ， 不 会 有 其 他 情形 出 现 。 这 就 证 明了 如 果 已 知 x,y 满足 
x =y:modn， 但 x+tymodn， 则 nn 可 以 被 分 解 。 全 

第 一 个 协议 中 ，Alice 将 秘密 传送 给 Bob 而 不 知道 Bob 是 否 真正 得 到 了 它 。 秘密 则 是 大 
数 n= pg 的 分 解 ， 这 里 是 两 个 大 素数 p,q 的 乘积 ， 而 且 pg 满足 p=3mod4 和 g =3mod4。 

。 Bob 选择 一 个 随机 数 x，0<x<n， 计 算 z=x? modn 并 将 此 值 传送 给 Alice; 

。 Alice 容易 利用 如 下 公式 计算 z 模 jp 的 主 平方 根 w 和 z 模 4 的 主 平方 根 w: 


w, =z(P+D/4 


w amis 


modp 
modg 
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这 两 个 公式 来 源 于 费 马 小 定理 。 土 号 可 以 随机 选择 ，Alice 令 姓 为 二 由 中 的 一 个 ， 攻 为 
+ 中 的 一 个 ,利用 这 些 平方 根 , 由 孙子 定理 (和 欧 几 里 得 算法 ) 将 求 得 一 个 z 模 n= pg 
的 平方 根 y， 使 得 y= y,modp 和 y=y,modg。Alice 将 y 传 给 Bob。 
e 如 果 Bob 的 选择 的 x 满足 性 质 x=+tymodn ， 则 他 不 会 容易 地 分 解 an。 但 是 如 果 有 
x=ymodp Hx=—y,modg 
或 者 x=—ymodp Hx=y,modg 
则 Bob 就 能 够 计算 ged(n,x 一 y) 以 求 得 素数 p,q 其 中 之 一 。 
由 单个 变量 的 多 项 式 的 惟一 分 解 我 们 知道 ， 一 个 二 次 方程 y* = zmod p 对 素数 p 至 多 有 
两 个 根 。 央 而 由 孙子 定 埋 (中 国 剩 余 定理 )， 对 不 同 的 素数 p,qg ，y? =zimod pg 至 多 有 四 个 
根 ， 实 际 上 是 对 模 p 有 两 个 根 ， 模 g 有 两 个 根 ， 总 共 四 个 根 。 在 上 述 协议 的 第 三 步 ， 两 个 根 
t+x modn 就 是 四 个 根 中 的 两 个 ，Alice 可 以 相同 的 概率 传送 四 个 根 中 的 任何 一 个 。 因 此 ， 在 
Alice 的 信息 提供 之 后 ，Bob 就 有 50% 的 可 能 分 解 n。 但 仍 有 50% 的 可 能 无 法 分 解 n。 
备注 协议 完成 之 后 ，Alice 只 知道 Bob 知道 或 不 知道 秘密 的 概率 ， 尽 管事 实 上 只 有 两 
种 可 能 , Bob 或 者 知道 或 者 不 知道 秘密 。 问题 的 关键 在 于 只 有 Bob 知道 自己 是 否 掌握 了 秘密 ， 
而 Alice 不 知道 Bob 是 否 知道 了 秘密 . 
现在 我 们 假设 Alice 有 两 个 秘密 ， 她 希望 把 它们 传送 给 Bob， 但 只 能 使 Bob 得 到 其 中 的 
一 个 ， 但 Alice 不 知道 Bob 到 底 得 到 了 那 一 个 秘密 。 这 里 我 们 利用 模 素数 p 的 离散 对 数 问题 
的 难 解 性 。 我 们 注意 到 ， 已 知 模 数 P 、 模 p 的 一 个 本 原 根 g 以 及 g*modp 和 g? modp 的 值 ， 
要 想 计算 g? modzP 的 值 却 不 是 一 件 容易 的 事情 : 由 g*modp 和 ”modp 的 值 计 算 gmod P 
的 值 似乎 需要 知道 x 和 y 的 离散 对 数 。 我 们 假设 秘密 是 两 个 整数 so,s ， 还 可 以 假设 这 两 个 整 
数 转 换 为 二 进 制 后 长 度 相 同 ， 因 为 必要 时 可 以 填充 1 补 齐 。 
。 随机 选择 一 个 大 素数 p 并 公开 , 而 后 再 随机 选择 乙 模 的 一 个 本 原 根 g 以 及 一 个 在 范 
围 1<c< -1 内 的 随机 数 c; 
e Bob 选择 一 个 随机 位 半 和 一 个 随机 数 x，1<x<P-1， 以 确立 他 的 EIGamal 型 的 公 铀 ， 
他 计算 





b, = gmodp 
b; = cg “modp 
这 里 我 们 注意 到 无 论 随 机 位 i 是 0 还 是 1, 随 机 位 1-i 仍 是 0 或 1.Bob 用 有 序 对 (bo,b) 
作为 他 的 公开 加 密 密 钥 ， 保 密 (i,x) 。 
e Alice 验证 bb =cmodp; 
e Alice 在 区 间 ,p -2j 上 随机 选择 y。,y， 并 计算 
ao=g to=b” mo=so®t 
a=g” t=b m=s®h 
然后 将 a0,al,mo,mi 传送 给 Bob。 
。 由 于 随机 位 i 不 是 公开 的 ，Bob 将 通过 计算 〈( 均 模 p ) 下 式 以 得 到 秘密 s : 
ar =(g”) =(g")'=b” =1, 
S;=m;Dt 
备注 ”因为 Bob 无 法 获得 c 的 以 g 为 底 模 p 的 对 数 ， 他 就 不 能 确定 如 和 6b 的 高 散 对 数 。 
Bob 内 为 不 能 计算 c 的 离散 对 数 ， 他 也 就 不 能 获得 % 和 si 。 
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18.5” 零 知识 证 明 


作为 一 简单 的 例子 ， 我 们 首先 考查 一 下 这 样 一 个 协议 ，Peter 想 让 Vera 相信 他 知道 大 整 
数 n 的 分 解 ， 但 又 不 会 把 大 数 的 因子 泄露 给 Vera， 这 里 nn 是 两 个 大 素数 p,q 的 乘积 。 

假设 Peter 知道 n= pg 的 分 解 ， 两 个 大 素数 p,q 模 4 同 余 3。 

e Vera 随机 选择 整数 x 并 将 x*%n 发 给 Peter; 

。Peter 计算 x4 模 p 的 主 平方 根 y=(x4)P19 人 ?以 及 x* 模 g 的 主 平方 根 y=(x4)9*0 人 2, 利 

用 孙子 定理 《和 欧 几 里 得 算法 ) 计算 y， 使 y= ymodp 且 y=y,modg 。Peter 将 这 个 - 
值 发 回 给 Vera。 

备注 ”以 模 4 同 余 3 的 素数 为 模 数 的 平方 根 公式 求 得 的 主 平方 根 ， 它 本 身 是 一 个 平方 。 
实际 ， 对 于 模 4 同 余 3 的 素数 p 以 及 a =b* mod p ， 两 个 平方 根 是 模 n 同 余 +4b 的 ， 并 且 确 切 
地 说 tb 之 一 本 身 就 是 一 个 平方 ， 因 为 -1 是 非 平方 的 且 Z/ p” 是 循环 的 。 

备注 ”因为 Vera 已经 能 够 计算 x ，Peter 当然 没有 泄露 新 的 信息 给 Vera。 

备注 Vera 应 当 信 服 Peter， 因 为 Peter 除了 利用 已 知 的 因子 p,q 之 外 ， 没 有 别 的 方法 计 
算 平方 根 。 况 且 在 任何 能 够 计算 出 模 n 平 方 根 的 方法 ， 将 会 给 出 分 解 n 的 一 个 概率 算法 (这 
里 n 具 有 n= pg 的 特殊 形式 ，p,g 为 不 同 的 素数 )， 具 体 如 下 : 如 果 我 们 有 一 个 oracle〔 指 某 
种 不 可 解释 的 机 制 )， 它 能 计算 模 n 的 平方 根 ， 我 们 重复 做 如 下 步骤 ， 随机 选择 一 个 x， 计算 
x2%m ， 并 把 结果 传送 给 oracle， 它 将 返回 一 个 x* 模 nn 的 平方 根 y。 与 前 面 讨论 其 他 协议 概 
念 时 所 作 的 备注 一 样 ， 因 为 非 零 平方 模 素数 的 两 个 平方 根 确实 存在 ， 由 孙子 定理 ， 任 何平 方 
模 n= pg 就 存在 四 个 平方 根 ，+x 就 是 其 中 的 两 个 。 设 其 余 两 个 为 tx' ， 假 设 x 的 选择 确实 是 
随机 的 ， 则 oracle 就 有 1/2 的 概率 将 +x' 当 作 y 返回 。 如 果 这 样 ， 那么 就 不 能 整除 x 土 》〈( 因 
为 y+xmodn )， 但 是 n 却 能 整除 x? 一 y* (因为 x* =y*modn )。 因 此 p 就 能 整除 x+ty 中 的 
一 个 , 而 gq 则 能 整除 另外 一 个 。 因此，gcd(x 一 y,n) 就 会 是 p 或 g。 因 为 oracle 可 以 反复 调用 ， 
在 每 一 次 调用 中 ， 获 得 分 解 的 概率 将 会 是 1/2 。 那 么 在 《次 调用 后 ， 我 们 不 能 获得 分 解 的 概 
率 将 会 是 4/2) ， 当 /1 趋 于 无 穷 时 ， 这 个 概率 值 将 为 0， 我 们 将 此 看 作 是 一 个 我 们 将 在 合理 的 
时 间 内 得 到 分 解 的 一 个 指示 。 


18.6 ”鉴别 


本 节 不 同 于 本 章 的 其 他 各 节 。 在 这 里 我 们 暂 不 考虑 保密 性 问题 ， 先 简要 考查 在 敌对 环境 
下 通信 的 可 靠 性 问题 ， 从 相关 但 是 不 同 的 目标 去 考虑 。 实 际 上 我 们 可 以 想象 这 种 环境 ， 对 通 
信 的 阻碍 要 比 失去 秘密 性 更 加 严重 。 就 目前 的 情形 , 我 们 不 能 假装 能 够 明确 地 回答 这 些 问题 ， 

只 能 指出 这 些 问题 。 随 着 实 跋 中 加 密 技术 的 运用 ， 公 钥 和 私 铀 技术 已 经 都 被 用 来 解决 《获得 

了 不 同 程度 的 成 功 ) 这 里 提出 的 问题 。 

消息 鉴别 就 是 指 用 来 检验 消息 来 自 于 声称 的 来 源 并 且 没有 被 修改 过 的 任何 过 程 。 更 进 
一 步 的 话 ， 应 当 可 能 检验 消息 是 以 正确 的 顺序 接收 的 ， 它 们 几乎 是 在 发 送 之 后 就 接收 到 的 ， 
没有 任何 丢失 ， 等 等 。 总 之 ， 对 任何 在 各 种 敌对 网 络 中 传送 的 消息 ， 除 了 秘密 性 之 外 ， 我 们 
应 当 考 虑 检验 ; 

。 消息 的 来 源 

。 消息 的 内 容 
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。 消息 的 顺序 

。 消息 的 时 间 

。 消息 的 接收 

。 消息 的 非 否认 

来 源 ”你 肯定 不 希望 攻击 者 以 你 的 名 义 给 你 的 联系 人 发 送 消息 ， 而 且 你 也 不 想 让 第 三 方 
能 够 假冒 你 信任 的 联系 人 给 你 发 来 伪造 的 消息 。 这 种 危险 的 一 个 重要 例子 就 是 : 在 许多 邮件 
系统 中 ， 很 容易 在 局 域 网 上 用 任何 假冒 人 希望 的 回复 邮件 地 址 给 其 他 人 发 送 电子 邮件 。 

内 容 ”即使 一 条 消息 的 内 容 不 需要 保密 ， 但 你 也 不 希望 攻击 者 能 够 修改 消息 的 内 容 。 

顺序 ”你 不 想 让 攻击 者 删除 一 部 分 消息 ， 或 者 让 攻击 者 重新 排列 消息 的 顺序 。 

时 间 “攻击 者 不 应 当 能 够 重 发 一 个 或 多 个 目的 消息 ， 似 乎 它们 还 是 新 的 ， 或 者 延迟 消息 
使 它们 比 实际 发 送 的 时 间 晚 一 些 。 

接收 ”你 也 不 希望 攻击 者 能 够 错误 地 报告 一 条 消息 丢失 了 ， 或 者 错误 地 报告 收 到 了 一 个 
消息 。 

非 否 认 ”你 也 不 希望 一 个 发 送 者 能 够 否认 曾经 发 送 过 消息 给 你 。 这 个 概念 引发 了 环境 的 
讨论 ， 这 里 你 可 能 不 完全 信任 你 的 联系 人 。 

当然 ， 在 上 述 每 种 情形 下 有 两 种 可 能 :攻击 的 阻止 和 攻击 的 检测 。 阻 止 应 该 是 理想 的 状 
态 ， 但 在 目前 的 情形 下 缺少 量子 信道 )， 似 平 检测 是 比较 实际 的 目标 。 同 样 ， 由 于 所 用 网 
络 的 反复 无 常 ， 消 息 的 传送 可 能 因为 攻击 行为 而 变 得 无 序 或 者 被 延迟 。 因 此 ， 检 验 顺序 和 时 
间 通 常 要 比 检验 来 源 和 内 容 更 复杂 。 

尽管 没有 绝对 出 色 的 方法 可 以 使 用 ， 但 仍 有 三 种 不 同类 型 的 机 制 用 于 消息 鉴别 : 

。 消息 加 密 

。 消息 鉴别 码 

e 散 列 孟 数 

消息 加 密 ” 在 采取 这 种 方法 的 消息 鉴别 中 ， 将 利用 密码 技术 对 整个 消息 加 密 并 发 送 密 
文 ， 只 有 授权 接收 者 才能 解密 。 那 么 授权 的 接收 者 解密 密 文 ， 实 际 上 密 文本 身 就 是 一 个 鉴别 
器 ， 因 为 我 们 假设 没有 任何 非 授 权 者 能 够 生成 这 样 且 能 被 正确 解密 的 消息 。 

消息 鉴别 码 ” 这 个 方法 就 是 利用 消息 和 秘密 密 钥 的 一 个 公开 函数 ， 生 成 一 个 小 块头 的 鉴 
别 信 息 。 这 一 小 块 数据 通常 称 为 鉴别 码 “MAC)， 它 随同 明文 一 起 发 送 。 这 里 的 鉴别 器 主体 
就 是 这 个 鉴别 码 的 值 。 接 收 者 重新 计算 所 收 到 消息 的 鉴别 码 ， 并 验证 它 是 否 与 随 消息 发 来 的 
鉴别 码 匹 配 。 

散 列 函数 ”这 是 没有 密 钥 的 消息 鉴别 码 。 如 同 鉴别 码 ， 散 列 函 数 也 是 利用 一 个 公开 散 列 
函数 生成 一 个 小 块头 的 鉴别 数据 。 当 然 ， 尽 管 没 有 密 钥 改变 了 形式 ， 并 且 似 乎 不 受 欢 迎 ， 在 
有 些 情 形 下 要 想 配 置 一 个 共享 秘密 密 钥 也 不 大 可 能 《〈 不 方便 )。 

当 用 加 密 的 消息 作为 鉴别 器 时 ， 其 根据 就 是 合法 的 发 送 者 是 惟一 能 够 产生 一 个 密 文 的 
人 ， 该 密 文 能 被 解密 〈 合 法 的 接收 方 也 持 有 这 个 密 钥 ) 为 相关 明文 。 这 有 一 点 问题 ， 解 密 的 
输入 可 能 是 任何 东西 ， 那么 ， 如果 合法 的 消息 可 以 是 相当 任意 的 0,1 字 串 ， 则 解密 将 产生 一 个 
假定 的 明文 ， 其 合法 性 则 很 难 验 证 。 另 一 方面 ， 如 果 希 望 明 文 是 英文 ， 则 在 没有 真正 的 加 密 
密 钥 的 情况 下 要 想 伪 造 一 个 密 文 应 当 是 困难 的 。 

处 理 二 进 制 消息 时 ， 可 以 附加 一 种 结构 使 得 合法 的 解密 者 很 容易 认识 它 ， 而 没有 解密 密 
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钥 时 则 无 法 复制 或 伪造 它 。 比 如 ， 发 送 者 可 以 在 加 密 前 附加 消息 的 一 个 校 验 和 《也 称 为 帧 校 
验 序列 ，FCS )。 那 么 这 就 需要 合法 的 发 送 者 和 接收 者 均 知 道 这 种 协议 ， 解 密 者 对 整个 消息 解 
密 ， 从 明文 的 尾部 去 掉 校 验 和 ， 然 后 用 得 到 的 明文 再 计算 一 个 校 验 和 ， 看 它 是 否 与 收 到 的 校 
验 和 匹配 。 我 们 可 以 想象 ， 一 个 闻 入 者 要 想 生成 一 个 伪造 的 密 文 ， 这 个 密 文 能 被 解密 为 明文 
加 校 验 和 ， 这 将 是 比较 困难 的 ， 除 非 他 有 加 密 密 钥 。 尽 管 如 此 ， 这 仍 不 能 防止 重 放 攻 击 。 注 
意 到 在 任何 情况 下 , 校 验 和 (或 任何 其 他 结构 〉 必须 在 加 密 前 附加 到 明文 上 ， 这 一 点 很 重要 。 

加 密 本 身 不 能 防止 旧 消 息 的 重 放 ， 旧 消息 可 能 被 攻击 者 窃听 或 者 复制 。 为 了 防止 旧 消 息 
被 重 放 ， 消 息 生 成 的 时 间 应 当 被 包含 进来 作为 消息 的 一 部 分 ， 这 也 就 是 时 间 惟 。 时 间 玫 应 当 
在 其 他 任何 鉴别 码 计算 之 前 附加 到 消息 上 ， 同 样 也 应 在 加 密 之 前 。 

对 消息 不 进行 加 密 处 理 而 计算 一 个 MAC 并 附加 到 消息 上 ， 从 计算 上 讲 可 能 比 全 部 加 密 
要 简便 一 些 ， 这 也 多 许 接收 者 根据 情况 决定 是 否 要 进行 验证 。 在 计算 MAC 时 使 用 秘密 密 钥 
算法 可 防止 非法 的 攻击 者 修改 消息 并 生成 一 个 匹配 的 MAC 值 。 

尽管 消息 的 接收 方 验证 的 概念 似乎 看 起 来 很 好 ， 但 它 却 产 生 了 一 些 问 题 ， 因 为 如 果 这 种 
协议 一 旦 被 实现 ， 则 用 发 送 未 经 请 求 的 邮件 的 方法 ， 可 以 不 经 许可 获得 其 他 人 的 一 些 信息 。 
“查找 器 ”协议 〈finger protocol) 已 允许 这 类 行为 ， 即 使 不 允许 验证 上 一 次 的 登录 时 间 ， 但 
这 也 产生 了 隐私 问题 。 因 此 “查找 器 ”协议 经 常 是 无 效 的 ， 所 以 现在 还 没有 广泛 使 用 的 接收 
方 验证 协议 。 

最 后 ， 非 否认 也 是 有 问题 的 。 某 人 给 你 发 送 了 一 个 加 密 的 消息 ， 但 稍 后 即 声称 他 的 密 钥 
在 那 之 前 已 经 泄露 了 ， 所 以 他 不 对 消息 的 内 容 负 责 。 对 此 问题 似乎 没有 简单 的 解决 方法 。 


18.7 ”电子 货币 和 电子 商务 


我 们 可 能 已 经 注意 到 “信息 高 速 公路 ”的 概念 已 经 被 “电子 商务 ”和 “电子 银行 ”所 取 
代 。 这 也 不 应 当 感 到 惊奇 ， 商 业 利益 促使 人 们 去 开发 借助 于 网 络 计算 机 的 通信 方式 。 但 困难 
的 问题 随 之 而 来 如 何 保护 存储 信用 卡号 码 的 服务 器 ? 如 何 与 对 方 建立 加 密 的 连接 ? 在 本 
节 ， 我 们 将 指出 这 方面 的 一 些 问题 ， 这 些 问题 目前 仍 没 有 满意 的 解决 方案 。 

消息 的 非 否认 问题 引发 了 因特网 上 签署 合同 或 者 授权 行为 的 问题 。 这 也 暴露 出 了 网 上 的 
身份 问题 ， 你 是 谁 ? 你 声称 你 是 某 某 ， 如 何 证 明 ? 并 且 可 能 出 于 不 同 的 目的 而 保留 不 同 的 身 
份 ? 

由 于 对 医疗 记录 、 信 用 记录 和 网 上 行为 的 记录 《通常 体现 在 浏览 器 的 Cookie 中 的 关 
注 ， 数 据 隐私 引起 了 人 们 的 兴趣 。 这 种 兴趣 引发 了 这 样 一 个 问题 : 如 何 完成 网 上 的 一 次 交易 
而 不 暴露 你 太 多 的 信息 ? 另 一 方面 ， 从 商家 的 观点 看 ， 为 了 建立 足够 的 信任 以 证 明 出 售 了 商 
总 ， 茶 些 信息 必须 暴露 。 理 想 的 状况 是 ， 购 买 者 应 当 提 供 足 够 而 不 多 余 的 信息 给 卖家 ， 目 的 
是 要 卖家 确信 交易 完成 了 。 类 似 地 ， 根 据 因 特 网 上 大 量 诈 骗 存 在 的 事实 ， 卖 家 也 需要 确立 信 
任 。 

在 讨论 电子 交易 时 ， 一 个 比较 重要 的 附带 的 技术 问题 是 故障 模式 : 如 果 一 次 电子 交易 在 
未 完成 时 被 中 止 将 如 何 处 理 ? 你 的 钱 有 没有 从 银行 提出 来 ? 可 能 已 经 从 你 的 账户 中 提出 来 
了 ， 但 没有 到 你 的 手 上 ? 确保 交易 顺利 进行 的 协议 、 软 件 和 硬件 是 很 重要 的 。 

将 来 ， 贷 币 会 实现 真正 的 电子 化 。 相 对 于 使 用 纸币 而 言 ， 使 用 传统 信用 卡 的 一 个 缺点 就 
是 ,信用卡 上 的 数值 仅仅 当 它 是 与 你 的 身份 相 联系 时 才 是 存在 的 。 但 你 的 交易 却 是 可 追踪 的 。 
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而 纸币 本 身 就 有 价值 ， 不 需要 和 你 的 身份 发 生 联 系 ， 所 以 也 不 会 产生 其 他 交易 的 信息 。 目 前 
的 电子 银行 就 遇 到 了 如 同 信用 卡 一 样 的 问题 ， 比 如 某 个 人 知道 不 少 有 关 你 资金 交易 的 情况 ， 
在 什么 地 方 做 了 什么 交易 ， 你 有 什么 样 的 消费 模式 。 

理想 的 情况 是 ， 电 子 货 币 应 有 的 价值 应 该 独立 于 持 有 人 的 身份 ， 它 应 当 是 可 分 割 的 ， 可 
转移 的 ， 不 可 重复 使 用 的 〈 也 就 是 你 不 能 把 一 张 钱 花 两 次 )， 它 还 应 当 是 不 依赖 于 某 个 中 间 
机 构 的 ， 而 且 交易 能 够 离线 处 理 。 

我 们 离 这 些 目标 还 比较 遥远 。 





我 们 以 下 即将 定义 的 环 和 域 的 概念 是 数 的 各 种 概念 的 抽象 。 要 掌握 这 些 概 念 的 目的 部 分 
是 出 于 效率 的 考虑 ， 因 为 我 们 不 希望 做 一 些 不 必要 的 重复 。 但 一 个 普通 的 抽象 可 能 建议 使 用 
另 一 个 领域 的 观点 ， 有 时 这 会 产生 重要 的 发 现 。 

/这些 抽 象 是 逐步 发 展 而 来 的 ， 最 先 开 始 于 1800 年 前 后 拉 格 朗 日 、 高 斯 、 艾 森 斯 坦 及 其 
他 一 些 人 在 数论 方面 的 工作 ， 当 然 包括 伽 罗 瓦 和 阿 贝尔 在 方程 理论 方面 的 工作 。 最 初 这 些 概 
念 根本 就 不 抽象 ， 并 且 广 泛 伸 入 到 计算 问题 中 。 到 了 1900 年 ， 人 们 对 很 多 独立 的 现象 进行 
了 证 实 和 分 类 ， 使 得 抽象 的 概念 变 得 有 意义 并 趋 于 一 致 。 


19.1 环 、 域 


环 的 概念 是 “ 数 ” 的 概念 的 推广 ， 与 群 的 概念 相 比 ， 它 可 能 还 要 更 加 直接 一 些 。 一 个 环 

R 是 一 个 具有 两 个 运算 + 和 . 的 集合 ， 并 且 具 有 一 个 特殊 的 元 素 0 〈 加 法 单位 元 ) 和 满足 如 

下 我 们 对 加 法 和 乘法 期 望 或 要 求 的 性 质 : 

e 加 法 结合 律 : 对 所 有 的 a,b,ceR， at(b+tc)=(a+b)+c 

e 加 法 交换 律 : 对 所 有 的 a,beR，a+b=b+a 

e 对 每 个 aeR， 存 在 一 个 加 法 送 元 素 ， 记 为 -a， 且 满足 a+(-a)=0 

e 元 素 0 对 所 有 的 ae RR 满足 0ta=a+0=a 

e 乘法 结合 律 ， 对 所 有 的 wbceR，a(bc)= (ab)c 

e。 乘法 和 加 法 满足 左右 分 配 律 : 即 对 所 有 的 a,b,ceR， a(b+c)=ab+ac， 
(b+c)a=ba+ca 

我 们 写 这 里 的 乘法 时 ， 就 像 在 高 中 代数 中 的 一 样 ， 通 常 略 去 点 而 直接 写 为 ab =a:b。 

通常 一 个 特定 的 环 有 如 下 加 法 的 特性 或 性 质 : 

e 如 果 在 一 个 环 中 存在 一 个 元 素 1，, 且 对 所 有 的 ae R 满足 性 质 1.a =a.:1, 则 称 1 为 环 的 
乘法 单位 元 或 单位 ， 那 么 该 环 被 称 为 有 一 个 单位 元 素 或 单位 元 ， 或 者 称 为 有 单位 元 的 
环 。1 是 环 的 单位 元 ， 我 们 还 要 求 在 一 个 环 中 1z#0。 

s。 如 果 在 一 个 环 尺 中， 对 所 有 的 a,beR， 有 ab=ba， 则 环 尺 称 为 交换 环 。 当 且 仅 当 乘 
法 是 交换 的 ， 一 个 环 是 交换 环 。 

通常 ， 但 不 总 是 这 样 ， 我 们 感 兴趣 的 环 是 有 单位 元 1 的 环 。 乘 法 交换 的 条 件 通常 是 满足 

但 也 有 例外 ， 如 短 阵 乘法 就 是 非 交 换 的 。 

。 在 一 个 有 单位 元 1 的 环 中 ， 对 于 给 定 的 元 素 eeR， 如 果 存 在 ar-! sR 使 得 a.a-1 =1 且 
al.a=1， 则 -1 称 为 是 a 的 乘法 逆 元 素 。 如 果 ae 尺 有 乘法 逆 元 ， 则 a 称 为 环 尺 的 一 
个 单位 ， 环 中 所 有 单位 的 集合 记 为 R* ， 称 为 环 R 的 单位 群 。 

。 每 个 非 零 元 素 都 是 单位 的 交换 环 称 为 域 。 

e 每 个 非 零 元 素 都 是 单位 的 非 交 换 环 称 为 商 环 。 
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e 环 尺 中 的 一 个 元 素 上 ， 若 对 某 个 非 零 的 seR 满 足 r.s=0 或 者 s.r =0， 则 称 r 为 一 个 
零 因 子 。 一 个 没有 非 零 零 因子 的 交换 环 称 为 整 环 。 

e@ 交换 环 RR 具有 消 元 性 质 , 即 对 任意 的 r e R,r 0，, 如 果 对 x,yeR 且 rx=ry, 则 有 x=y。 
我 们 所 熟悉 的 许多 环 具备 这 样 的 性 质 。 

备注 在 使 用 单位 一 词 时 实际 上 出 现 了 不 一 致 的 情况 。 但 这 只 是 一 个 用 词 方式 的 问题 。 
所 以 单位 元 是 1， 单 位 wa 只 是 一 个 有 乘法 逆 元 素 的 元 素 。 当 然 ， 除 非 有 一 个 单位 《意味 着 存 
在 1)， 和 否则 就 没有 逆 元 素 。 我 们 总 是 能 够 从 上 下 文中 知道 它 具 体 指 的 是 什么 。 

我 们 应 当 能 够 认识 到 记号 -a 〈 加 法 逆 元 素 ) 和 〈 乘 法 道 元素 ) 跟 通 常 意义 上 的 “ 负 
a” 和 “被 a 除 ” 是 一 致 的 ， 这 一 点 很 重要 。 但 目前 我 们 还 不 能 明确 地 认为 这 就 是 高 中 代数 
的 东西 。 我 们 必须 证 明 所 有 这 些 平常 的 东西 在 抽象 的 结构 中 仍然 是 正确 的 。 

如 果 我 们 只 考虑 环 R 中 的 加 法 和 0 ， 则 我 们 就 得 到 了 一 个 阿 贝尔 群 ， 称 为 RR 的 加 法 群 。 

环 中 单位 的 集合 及 加 上 单位 元 当然 是 一 个 群 ， 其 单位 元 就 是 1。 如 果 环 尺 的 乘法 是 交换 
的 ， 则 这 个 群 就 是 阿 贝尔 群 。 

在 下 面 我 们 给 出 的 例子 中 ， 还 有 一 些 更 加 实用 的 术语 ， 通 常 一 个 群 就 是 指环 的 加 法 群 或 
者 单位 群 。 有 许多 例子 不 具备 这 些 性 质 ， 但 也 有 一 些 基本 的 例子 具备 这 些 性 质 。 

整数 集合 乙 在 通常 的 加 法 和 乘法 运算 下 构成 一 个 环 。 这 个 环 当然 是 交换 的 ， 其 乘法 单位 
元 为 1， 单 位 群 Z* 刚好 是 什 沾 。 这 个 环 是 整 环 。 

整数 中 偶数 的 集合 2Z 在 通常 的 加 法 和 乘法 运算 下 ， 构 成 一 个 没有 单位 元 的 交换 环 。 正 
如 这 个 例子 所 揭示 的 那样 ， 通 常 在 一 个 环 中 没有 单位 元 在 某 种 程度 上 是 可 以 人 为 的 ， 因 为 有 
一 个 “ 较 大 ”的 环 ， 它 有 单位 元 ， 在 这 个 环 中 却 没有 单位 。 

整数 模 m 的 集合 乙 / 闫 构成 一 个 有 单位 元 的 交换 环 。 单 位 群 正 如 记号 所 表示 的 那样 ， 为 
2Z/ 喧 : 注意 这 个 单位 群 的 记号 我 们 前 面 已 经 用 过 了 。 

设 p 为 一 个 素数 ， 则 整数 模 p 的 集合 Z/p 构成 一 个 域 , 因为 所 有 的 小 于 p 的 正 整 数 都 有 
一 个 模 p 的 乘法 逆 元 素 〈 由 欧 几 里 得 算法 即 可 求 得 )。 单 位 群 记 为 Z/ p”。 

所 有 nxn(n 固定 ) 实数 算 阵 的 集合 , 在 通常 的 矩 阵 乘法 和 加 法 下 构成 一 个 环 。 除了 n=1 
的 平凡 情况 以 外 ， 这 个 环 是 非 交 换 的 。 单 位 群 为 群 GL(n,R)。 

有 理 数 集 Q、 实 数 集 R 和 复数 集 C 都 是 域 的 例子 ， 因 为 它们 所 有 的 非 零 元 素 都 有 乘法 
逆 元 素 。 

正如 我 们 一 开始 讨论 群 的 性 质 一 样 ， 我 们 也 应 当 考 查 一 下 环 具 备 哪些 性 质 。 根 据 我 们 以 
前 对 数 的 一 些 经 验 ， 通常 做 出 一 些 假 定 也 是 合理 的 。 但 是 最 好 对 这 些 性 质 给 出 一 些 简 短 的 证 
明 ， 而 不 是 在 意识 上 理所当然 地 就 接受 它们 。 

设 丸 是 一 个 环 ， 我 们 将 证 明 如 下 一 些 基 本 的 性 质 ， 

@ 加 法 单位 元 的 惟一 性 :如果 存 在 一 个 元 素 ze R 和 另 一 个 元 素 r e R， 使 得 r+z=r， 

则 z=0。( 注 意 ， 我 们 这 里 需要 的 条 件 只 是 一 个 元 素 xr e R， 而 不 是 对 所 有 的 reR) 
@ 加 法 逆 元 的 惟一 性 ; 固定 re R,， 如果 存 在 re R, 使 得 x+r'=0,， 则 实际 上 有 x’ = 一 r， 
即 x 的 加 法 逆 元 。 

e@ 乘法 单位 元 的 惟一 性 : 假设 R 有 单位 元 1， 如 果 存 在 we R ， 使 得 对 所 有 的 reR 满足 
Ur=r， 则 w=1。 或 者 如 果 对 所 有 的 r eR 满足 r.u=r， 则 w=1。 实 际 上 ， 我 们 需 
要 的 就 是 1.u=1 或 4.1=1 来 确保 =1。 
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e 乘法 逆 元 的 惟一 性 : 如 果 r eR 有 个 乘法 道 元 斑 : ， 并 且 如 果 普 s 尺 使 得 rr 天 =1， 则 
"= ”"。 或 者 假设 rr =1， 仍 然 能 够 得 到 =!。 
e 对 于 re 有 及， 我 们 有 -(Cr=r。 即 的 加 法 逆 元 的 加 法 逆 元 仍 是 r 。 
证 明 (加 法 单位 元 的 惟一 性 ) ”如 果 存 在 一 个 元 素 zsR 和 reR， 使 得 r+z=>， 给 ; 
个 等 式 左右 两 边 同 时 加 上 -> ， 由 加 法 逆 元 的 定义 则 有 
(r+2z)—r=r-r=0 
再 利用 加 法 的 交换 律 和 结合 律 以 及 0 的 性 质 ， 上 式 左 边 为 
(r+2z)—r=(z+r)-—r=z+(r—-r)=2+0=2z 
左右 两 边 对 照 起 来 就 有 z=0， 这 就 证 明了 我 们 的 结果 。 . 
证 明 《加 法 逆 元 的 惟一 性 ) ”固定 一 r eR ， 如 果 存 在 r'e R， 使 得 x+r'=0， 给 这 个 等 
式 左右 两 边 同 时 加 上 -~ 则 有 





(r+r)—r=0+(-r) 
利用 加 法 的 交换 律 和 结合 律 ， 上 式 左 边 就 变 为 


(r+r)-r=(r +r)-r=r t+(r-r)=r +0=r 


而 右边 为 0+(-r)=-r， 因 此 x =--r， 结 论 得 证 。 人 
证 明 ( 来 法 单位 元 的 惟一 性 ) ”假设 1.4 =1 或 者 x.1=1 就 能 确保 =1。 由 已 知 条 件 和 乘 
法 单位 元 的 性 质 很 容易 得 到 我 们 的 结论 。 人 


证 明 〈 素 法 逆 元 素 的 肉 一 性 ) “假设 re 有 有 一 个 乘法 道 元 上 ， 并 且 如 果 y'eR 使 得 
r .r=1， 我 们 同时 给 等 式 两 上 边 左 乘 以 rx" ， 再 利用 1 的 性 质 则 有 
ri-(r-r)=r .1=r" 
利用 乘法 的 结合 律 ， 以 及 乘法 逆 元 和 单位 元 的 性 质 ， 上 式 左 边 为 
rr ) = rr =r = 
两 边 结合 就 有 x'=x7。 由 
最 后 一 个 结论 -(-m =z 的 证 明 与 群 的 类 似 结 论 的 证 明 一 样 ， 逆 元 素 的 逆 元 素 就 是 原来 的 
元 素 。 
我 们 在 高 中 甚至 更 早 就 知道 了 这 样 的 结论 : 如 “ 减 减 得 加 沁 “ 零 乘 任何 数 得 零 ”。 从 环 
的 一 些 公理 来 看 这 些 结论 是 很 有 趣 的 ， 我 们 也 可 以 证 明 这 些 结论 。 
这 些 结论 比 前 面 的 一 些 “ 显 然 ” 的 结论 稍 有 不 同 ， 它 们 涉及 乘法 和 加 法 的 交叉 运算 。 这 
些 简单 的 证 明 是 我 们 证 明 一 些 关 于 环 的 一 般 结论 的 很 好 模板 。 
设 尺 是 一 个 环 ， 则 
。 对 任意 的 reR，0.r=r.0=0; 
e。 假设 R 中 存在 1， 设 -1 是 1 的 加 法 逆 元 ， 则 对 任意 的 re R， 有 (~-D)'r=r.(-1)=-r， 
这 里 -~ 表示 ?+ 的 加 法 逆 元 ; 
e 设 x,yeR， 明 -x,~-y 分 别 是 x,y 的 加 法 道 元 ,， 则 (-x):(-y)=x:y。 
证 明 在 下 面 的 讨论 中 ， 我 们 需要 记 住 ， 要 想 证 明 4b= -a， 就 只 需 证 明 a+b=0。 
现在 我 们 来 证 明 “ 零 乘 任何 元 素 得 零 ” 这 一 结论 。 设 rs 有 R， 则 
0.r=(0+0).r (因为 0+0=0) 
， =0.r+0-.:r (分 配 律 ) 
给 两 边 同 时 加 上 (0.r) 则 有 
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0=0-.:r—0.r=0:r+0:r~-0:.:r=0:r+0=0:r 
这 就 证 明了 0.r=0，r:0=0 的 证 明 与 此 类 似 。 
我 们 再 来 证 明 (-D.r = -r， 我 们 所 要 证 明 的 就 是 (-Dr 是 + 的 加 法 逆 ， 而 且 知 道 它 是 惟一 
的 。 所 以 我 们 只 需要 验证 >r+(-Dr=0 即 可 
r+(-Dr=lr+( -Dr=(-hDr=0.r=0 
这 里 利用 了 1 的 性 质 以 及 分 配 律 和 我 们 已 经 证 明 的 结果 0.r=0。 
最 后 我 们 来 证 明 (-x):(-y) =x.:y， 因 为 我 们 已 经 知道 -(-r)=x， 所 以 我 们 要 证 明 的 结论 
就 可 变 为 (-x):(-)= 一 (-(x.y)) 。 我 们 分 两 步 来 证 明 它 : 首先 我 们 需 证 明 -(xy)=(-x)y ， 这 
可 由 下 面 的 计算 得 到 : 
xy+xy=(-x+x)y=0.y=0 
将 这 两 个 方面 结合 起 来 那么 我 们 只 需要 再 证 明 (-x)(-y)+(-x)y =0，, 而 这 可 由 下 面 的 计算 得 出 : 
(Xp)+(-x)y= (x)(-y+y)= (x):0=0 
这 里 用 到 了 分 配 律 和 性 质 r.0= 0 。 这 就 完成 了 我 们 的 证 明 。 和 
习题 
19.1.01 验证 模 m 为 1 的 同 余 类 1 是 环 Z/m 的 乘法 单位 元 “1”。 


19.1.05 求 环 Z/4, 有 Z/5,Z /6 中 的 单位 群 。 

19.1.06 求 环 Z/12 中 的 单位 群 。 

19.1.07 验证 所 有 偶 整 数 集合 2Z 是 一 个 环 ， 尽 管 它 没有 单位 元 。 

19.1.08 验证 如 果 n 是 合 数 ， 则 Z/n 有 非 零 零 因 子 。 

19.1.09 验证 如 果 疡 是 素数 ， 则 也 /P 是 整 环 。 

19.1.10 证 明 环 中 的 一 个 乘法 可 逆 元 素 不 是 零 因 子 。( 注 意 1#0) 

19.1.11 设 尺 是 形 如 a+ 姑 的 数 的 集合 ， 其 中 ob esQ 且 = -1。 做 为 练习 ， 验 证 尺 对 加 
法 和 乘法 是 封闭 的 ， 若 只 是 一 个 环 ， 进 而 证 明 它 是 一 个 域 。( 提 示 : 分 母 有 理化 》 

19.1.12 设 RR 是 形 如 a+bV2 的 数 的 集合 ， 其 中 a,5e Q 。 做 为 练习 ， 验 证 尺 对 加 法 和 乘 
法 是 封闭 的 ， 若 R 是 一 个 环 ， 进 而 证 明 它 是 一 个 域 。( 提 示 : 分 母 有 理化 ) 

19.1.13 设 RR 是 形 如 a+bi 的 数 的 集合 ,其 中 a,beZ 且 i=V-1。 验证 R 对 加 法 和 冬 法 是 
封闭 的 ， 若 丸 是 一 个 环 ， 找 出 其 单位 群 。 

19.1.14 设 R 是 形 如 a+tbV-5 的 数 的 集合 , 其 中 a,beZ ,验证 R 对 加 法 和 乘法 是 封闭 的 ， 
若 R 是 一 个 环 ， 找 出 其 单位 群 。 

19.1.15 证 明 在 环 中 ， 只 有 当 + =0 时 ， 才 有 等 式 r +r =r 成 立 。 

19.1.16 在 环 Z/15 中 求 几 个 元 素 x,y 非 零 而 它们 的 积 为 零 的 例子 。 

19.1.17 在 环 Z/21 中 求 几 个 元 素 x,y 非 零 而 它们 的 积 为 零 的 例子 。 

19.1.18 在 环 Z 1/ 16 中 求 几 个 元 素 x,y 非 零 而 它们 的 积 为 零 的 例子 。 





19.2 ”整除 性 


在 试图 证 明 各 种 交换 环 “ 具 有 惟一 分 解 ” 之前， 我 们 应 当 明确 其 含义 是 什么 。 为 了 明确 
这 一 点 ， 我 们 需要 再 次 用 到 整除 性 。 我 们 假设 在 本 节 所 讨论 的 环 是 交换 的 且 有 一 个 单位 元 。 

第 一 个 需要 掌握 的 就 是 消去 律 可 能 不 成 立 ， 而 这 一 点 则 与 非 零 零 因子 出 现 密切 相关 。 

定理 ”一 个 交换 环 尺 具有 消 元 的 性 质 当 且 仅 当 它 是 一 个 整 环 。 

证 明 假设 及 具有 消 元 的 性 质 ， 并 假设 x.s=0， 因 为 r.0=0 对 任何 r+ eR 成 立 ， 所 以 我 
们 有 rx.s=r.0。 如 果 rz0， 则 消去 + 得 到 s=0。 同 样 ， 如 果 sz0， 则 得 到 x=0。 这 就 表明 
消去 律 成 立意 味 着 该 环 没 有 非 零 零 因 子 ， 即 是 整 环 。 

另 一 方面 ， 假 设 R 是 整 环 ， 即 它 没有 非 零 的 零 因子 ， 并 且 假 设 ra=rb， 且 xz0， 则 我 
们 有 r(a-5)=0， 因 为 r#0， 则 必 有 a~b=0， 即 a=b， 这 就 得 到 了 我 们 所 希望 的 消去 律 。 

全 

在 一 个 交换 环 尺 中 ， 称 xe 尺 整除 ye 有 R， 如 果 存 在 zse 尺 ， 使 得 >= zx 。 我 们 还 称 是 x 
的 倍数 .如 同 普通 的 整数 , 我 们 用 x|y 表 示 x 整除》。x 就 可 以 称 为 y 的 一 个 因子 。 如 果 xz=y 
并 且 x 和 z 都 不 是 单位 ， 则 称 * 为 的 一 个 真 因子 。 

我 们 还 要 记 住 ， 任 何 元 素 整 除 0， 这 是 因为 x.0=0。 但 是 0 只 能 整除 自己 。 另 一 方面 ， 
如 果 ue RR 是 尺 的 一 个 单位 ( 即 它 有 一 个 乘法 逆 元 )， 则 它 整除 每 个 元 素 : 设 xr eR 为 任意 元 
素 ， 我 们 可 由 rr =+:1=r.(w7w)=(r.u 1) ,得 知 r 是 x 的 倍数 。 

RR 的 一 个 元 素 p 称 为 是 素 元 或 不 可 约 元 ,如果 p 本 身 不 是 RR 中 的 单位 , 而 且 如 果 x 坟 =p 
《x,yeR)， 则 x 或 者 y 是 R 中 的 一 个 单位 。 这 个 定义 的 另 一 种 说 法 会 是 ， 一 个 元 素 是 素 元 
当 且 仅 当 它 没有 真 因子 。 

e 如 果 4 是 整 环 R 中 一 个 非 零 元 素 r 的 真 因子 ， 则 有 R.rcR.d, 但 Rrz*zR.d。 

证 明 因为 4 是 + 的 一 个 因子 ， 则 存在 xe R， 使 得 xd => 。 由 RR 对 乘法 的 封闭 性 ， 则 有 

R:r= R(xd)= (Rx)d CR:d 
假设 Rr=R.d， 则 d=1.deR.d=R.r， 因 此 必 存 在 一 个 seR， 使 d=s.r 。 但 是 
r=xd =x(sr)= (xs)r 
即 xr(1 一 xs)=0。 因 为 -#0 且 R 是 整 环 ， 则 必 有 1-xs=0， 即 xs=1。 这 也 就 是 说 x 是 一 个 单 . 
位 ， 这 就 与 假设 条 件 xd =r 是 + 的 一 个 真 分 解 相 矛盾 。 由 

两 个 素 元 p,q e R 称 为 是 相伴 的 ， 如果 存在 一 个 单位 weR， 使 得 g = wp 。( 因 为 单位 的 逆 
仍 是 单位 ， 此 条 件 是 对 称 的 ， 即 它 等 价 于 存在 一 个 单位 ve R ， 使 得 p= vg .) 

出 于 将 元 素 分 解 为 素 元 的 目的 ， 两 个 相伴 的 素 元 通常 我 们 将 其 视 为 同一 个 元 素 。 
习题 

19.2.01 证 明 在 环 乙 / 35 中 所 谓 的 消去 律 不 成 立 ， 即 对 这 样 的 模 数 ， 找 出 〈 非 零 ) 

元 素 a,b,c eZ/35，,， 使 得 ca=cb， 但 az4b。 

19.2.02 证 明 在 环 Z/77 中 所 谓 的 消去 律 不 成 立 : 即 对 这 样 的 模 数 ， 找 出 〈 非 零 ) 元 

素 4a,b,ceZ/77， 使 得 ca=cb， 但 azb。 


19.2.03 是 一 个 合 数 ， 证 明 在 环 Z /n 中 所 谓 的 消去 律 不 成 立 ， 即 对 这 样 的 模 数 ， 
找 出 ( 非 零 ) 元 素 a,b,ceZ/n， 使 得 ca=cb， 但 azb。 
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19.2.04 设 2& 是 交换 环 尺 中 的 一 个 单位 ， 证 明 在 尺 中 不 存在 非 单 位 的 元 素 整 除 x 。 

19.2.05 证 明 在 环 中 如 果 x= yu 且 w 是 一 个 单位 ， 则 对 某 个 单位 w 有 y=xu 。 

19.2.06 设 R 是 一 个 有 单位 1 的 整 环 并且 对 x,yeR 有 Rx=Ry， 证 明 存 在 一 个 单位 
ueER*， 使 得 y=wux。 

19.2.07 假设 在 一 个 整 环 R 中 有 xy=z， 并 且 x 和 y 都 不 是 单位 ， 证 明 Rz c Rx ， 但 是 
Rz z Rx 。 


19.3 多项式 环 


另外 一 类 重要 的 且 是 常见 的 环 结构 就 是 多 项 式 环 : 设 尺 是 一 个 有 单位 的 交换 环 ， 定 义 
R[x]= {系数 为 R 中 的 多 项 式 } 
其 上 的 运算 则 为 多 项 式 的 加 法 和 乘法 。 我 们 特别 感 兴趣 的 是 那些 系数 在 某 个 域 大 中 的 多 项 式 。 
通常 我 们 默认 的 这 个 域 是 Q、R 或 者 C， 有 时 我 们 也 人 允许 这 个 域 是 乙 /P〈 疡 为 素数 ) 这 样 的 
有 限 域 。 

设 有 是 一 个 有 单位 1 的 交换 环 ， 并 设 x 是 我 们 通常 所 说 的 “变量 ”或 “不 定 元 ” 则 系数 
属于 RR 的 x 的 多 项 式 环 是 这 样 一 种 结构 ， 使 用 变 元 x 且 系 数 属于 环 R 的 所 有 多 项 式 集合 。 我 
们 也 可 称 它 为 R 上 x 的 多 项 式 环 ， 使 用 方 括号 R[x] 表 示 上 x 的 多 项 式 环 。 在 多 项 式 的 通常 
加 法 和 乘法 运算 下 ，R[x] 是 一 个 环 。 

我 们 已 经 非常 熟悉 在 实数 域 或 复数 域 上 的 多 项 式 ， 这 里 也 没有 什么 特别 的 地 方 。 一 个 变 
元 为 x 的 多 项 式 可 表示 为 如 下 形式 ;: 

P(x) = cz + cnx" 二 +c3xz3 Cox + cIx+ co 
其 系数 就 是 环 R 中 的 “ 数 ”c,,…,co ， 常 数 项 为 ce 。 如 果 c, 二 0， 则 称 c,x” 为 最 高 次 项 或 首 
项 ，c, 就 称 为 最 高 次 项 的 系数 或 首 项 系数 。 

直 和 项 oxi 为 i 次 项 ,， 有 时 i 也 被 称 为 直 和 项 cx’' 的 阶 , 最 高 次 项 的 阶 称 为 多 项 式 的 次 数 。 

备注 我 们 用 上 述 形 式 表 示 多 项 式 时 总 是 忘记 声明 c, 是 否 非 零 。 有 的 时 候 我 们 以 上 述 方 
式 表示 多 项 式 ， 已 假定 c, 非 零 。 

如 果 一 个 多 项 式 的 首 项 或 最 高 次 项 的 系数 为 1 ， 则 称 其 为 首 一 多 项 式 。 

备注 “有 时 我 们 总 是 想当然 地 认为 多 项 式 是 一 种 函数 ， 实 际 上 这 是 有 问题 的 。 多 项 式 可 以 
产生 函数 ， 但 它们 本 身 仅 仅 是 多 项 式 而 已 。 准 确 的 表示 应 当 是 : 系数 属于 环 尺 的 一 个 多 项 式 

(=cz+TcIZT Tv 十 CIX 二 cg 
生成 一 个 环 R 上 的 函数 ， 记 为 
jg=ca"+c lian +…+ca+ceo，aeRR 
也 就 是 用 a 代替 变 元 x。 这 是 一 个 R 到 RR 的 函数 。 

如 果 我 们 错误 地 把 多 项 式 当 作 函数 ， 则 多 项 式 本 身 所 具有 的 一 些 特性 就 消失 了 。 比 如 ， 

我 们 来 考查 多 项 式 环 (Z/ 2)[x] 中 的 多 项 式 f(x)=x+x +x+1， 其 系数 属于 /2， 则 

/0) 0 +0 +T+T0 

f(D=1 +1*+1+1=0 
这 个 由 多 项 式 生 成 的 函数 是 一 个 0- 函数 ， 但 显然 多 项 式 却 不 是 零 多 项 式 。 还 有 一 个 例子 ， 
考虑 (Z/3)[x] 中 的 多 项 式 f(x)=x? -x， 计 算得 /(0),f(1),f(2) 均 为 0， 但 多 项 式 本 身 显然 
为 非 零 多 项 式 。 
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习题 


19.3.01 求 x* +3x+2=0 在 乙 /5 中 的 两 个 根 。 

19.3.02 求 x2*+3x+2=0 在 乙 /7 中 的 两 个 根 。 

19.3.03 求 x*+1=0 在 Z/5 中 的 两 个 根 。 

19.3.04 求 刀 +1=0 在 Z/13 中 的 两 个 根 ， 

19.3.05 验证 x+x+1=0 在 Z/2 中 没有 根 。 

19.3.06 设 p 是 一 个 素数 ， 验 证 x? -x+a=0 在 Z/p 中 没有 根 。 
19.3.07 求 x* -1=0 在 Z/8 中 的 四 个 根 。 

19.3.08 求 刀 -2=0 在 Z/161 中 的 四 个 根 。 

19.3.09 求 刀 -1=0 在 Z/105 中 的 八 个 根 。 

19.3.10 求 刀 -1 在 忆 /15 中 除 显然 的 (xc-D(z+D 之 外 的 另 一 种 分 解 。 
19.3.11 求 x* -2 在 Z/161 中 的 两 个 不 同 的 因子 为 首 一 的 分 解 式 ， 
19.3.12 设 k[x] 是 域 E 上 变 元 为 x 的 多 项 式 环 ， 求 该 环 的 单位 群 x[x 了 。 
19.3.13 设 R[x] 是 有 单位 1 且 交 换 的 环 R 上 变 元 为 x 的 多 项 式 环 , 求 该 环 的 单位 群 R[x 了 。 
19.3.14(*) 为 什么 二 次 公式 不 能 求 出 x*+x+1=0 在 Z/2 中 的 根 ? 


19.4” 欧 几 里 得 算法 


在 域 上 上 的 多 项 式 环 k[x] 也 存在 一 个 除法 算法 ,并 因此 存在 一 个 与 通常 的 整数 环 上 形 
式 相 同 的 欧 几 里 得 算法 。 除 法 算法 就 是 用 一 个 多 项 式 去 除 另 一 个 多 项 式 ， 产 生 一 个 余 项 ， 跟 
我 们 在 高 中 甚至 更 早 学 到 的 一 样 。 只 不 过 那 时 我 们 掌握 的 除法 过 程 不 依赖 系数 域 ， 当 然 余 项 
的 次 数 要 低 于 除 式 的 次 数 。 
例如 ， 我 们 用 疡 +1 来 除 妇 +1:， (x +D-x cz +D=x-1， 这 已 是 最 后 的 约 简 形式 ， 
为 x-1 的 次 数 已 严格 低 于 x?+1 的 次 数 。 我 们 再 来 用 x* +1 约 简 x’ +1， 步 又 如 下 : 
(x +D) -x .x +1)=—x? +1 
(x3 +l)+x:(x +l)=x+l 
两 个 步骤 合 起 来 则 有 (x+D-(z -如 :+D=xz+l。 
因为 除法 算法 对 域 上 的 多 项 式 也 成 立 ， 作 为 一 个 推论 我 们 也 有 一 个 欧 几 里 得 算法 ;至 关 
重要 的 一 点 是 ， 在 数 的 欧 几 里 得 算法 中 ， 除 法 算法 的 每 一 步 都 得 到 一 个 更 小 的 数 。 
我 们 来 做 一 个 Z / 2 上 多 项 式 的 除法 ， 用 x? +x+1 除 x 十 x + +XxX*++x* +1， 详 细 
步骤 如 下 : | 





x4 +x3 +0 +x! +0 Rx! +x0 
x OFX +X! x” +x + + +x? + +0 + 和 
x”+0 +x” + +0 +0 +0 +0 


xz +0 +0 + + 和 +0 +x! 


x +0 +x1 + +0 +0 +0 
x +0 +x +0 +x° 
x +0 +x” +x! +0 


x! 十 x 
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用 一 个 式 子 表示 则 是 (x +xs+x” +x4+x3+x +1) 一 (x*+x? +x)(x? +x+1) 
=X 十 1 

如 果 系 数 域 不 是 Z/2， 则 容易 出 现 一 个 因子 DD 不 是 首 一 的 情形 ， 也 就 是 其 首 项 系数 c, 不 
是 1。 此 时 我 们 多 项 式 cy 万 是 首 一 的 ， 则 可 用 ci1D 去除 。 由 除 式 为 ej!D 的 除法 算法 表达 式 
斑 =Q.(ci'D)+R， 我 们 可 以 直接 得 到 除 式 为 D 的 表达 式 : 

F=(Qcn!')-D+R 

非 首 一 多 项 式 的 除法 中 数 的 运算 与 前 面 的 方法 一 样 ， 只 不 过 采用 这 种 方法 可 以 避免 错误 
(特别 是 在 手工 计算 时 )。 

分 解 、 不 可 约 性 检验 : 就 像 在 通常 的 整数 分 解 方法 中 一 样 ， 对 于 较 小 的 有 限 域 上 的 小 次 
数 多 项 式 ， 我 们 也 可 使 用 一 个 直接 的 分 解 算法 。 类 似 于 普通 整数 的 分 解 |xy| 有 x|:|y|， 对 一 
个 域 上 多 项 式 的 分 解 我 们 也 需要 这 样 一 个 事实 : 

deg(P:0)= deg P+degO 
这 里 的 deg 是 多 项 式 的 次 数 。 这 个 结论 的 成 立 依赖 于 这 个 事实 : 域 中 没有 零 因子 。 令 : 
P(x)=anx” tanx” ++ax +ax+ao 
Q(x) =b,x" +b, x" +.+ bx + bx+bo 

显然 这 里 的 首 项 系数 a,b, 均 不 为 零 。 在 乘积 P.O 中 最 高 次 项 是 x”"”， 它 只 可 能 由 了 和 8 的 
首 项 相 乘 而 来 ， 因 此 它 的 系数 为 a, 5, 。 义 因为 P 和 的 首 项 系数 都 不 为 备 ， 而 且 域 中 非 零 
元 素 的 乘积 仍 非 零 ， 所 以 xz" 的 系数 非 零 。 这 就 证 明了 乘积 的 次 数 为 次 数 的 和 。 

e 对 于 多 项 式 F 的 一 个 真 因 子 D，0 < degD < deg 瑟 。 更 进一步 ,如果 严 有 一 个 真 因子 ， 


则 它 有 一 个 真 因 于 D 满 足 0< degD<3degF 。 
证 明 如 果 下 的 一 个 真 因子 D 的 次 数 大 于 等 于 了 degF ， 则 FF/D 的 次 数 小 于 等 于 


] 
一 de F o 全 
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有 关 多 项 式 的 分 解 还 有 如 下 一 些 简单 的 结论 : 
e 每 个 线性 多 项 式 是 不 可 约 的 ， 因 为 不 存在 次 数 介 于 1 和 0 之 间 的 多 项 式 ; 
e 如 果 一 个 二 次 多 项 式 可 以 真 分 解 ， 则 它 必 定 是 两 个 线性 因子 的 乘积 ; 
e 如 果 一 个 三 次 多 项 式 可 以 真 分 解 ， 则 它 必 定 至 少 有 一 个 线性 因子 ; 
e 如 果 一 个 四 次 或 更 高 次 多 项 式 可 以 真 分 解 ， 则 它 可 能 没有 线性 因子 ; 
e 系数 域 为 的 多 项 式 F(x) 有 一 个 线性 因子 x~-a (as 有 所， 沽 有 仅 当 Fo)=0。 
证 明 如 果 x-a 是 一 个 因子 ， 则 存在 某 个 G(x) 使 得 下 (x) = (x 一 a)G(x) ， 进 而 有 
| F(a) =(a—a)G(a)=0.6G(a) 
男 一 方面 ， 假 设 F(a)=0 ， 利 用 除法 算法 可 以 得 到 F(x)=O(x):(x-a)+R ， 因 为 
degR < deg(x 一 a) =1， 则 它 必定 是 一 个 常数 ， 两 边 代 入 a 的 值 则 得 到 
0= F(a)=Q(a)-:(a—-a)+R=QO(a).0+R=R 
因此 ，R=0， 因 此 x-a 整 除 F(x) 。 他 
备注 这 给 出 一 种 最 为 简单 的 验证 线性 因子 的 方法 。 
在 Z/2[x] 中 只 有 一 个 次 数 为 0 的 多 项 式 ， 那 就 是 常数 1。 零 多 项 式 的 次 数 更 适合 说 是 无 
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穷 。 

在 Z/2[x] 中 刚好 有 两 个 线性 多 项 式 ， 即 x 和 x+1l1。 因 为 每 个 线性 多 项 式 是 不 可 约 的 ， 所 
以 它们 是 不 可 约 的 。 

对 于 二 次 多 项 式 , 对 线性 项 的 系数 和 常数 项 各 有 两 种 选择 ,所 以 在 乙 /2[ 中 有 四 个 二 次 
多 项 式 。 下 面 我 们 来 考查 它们 的 不 可 约 性 : 

e 显然 x* =x.x; 

e 显然 x*+x=x:(x+]); 

e x +1=(x+])*， 这 里 我 们 用 到 了 2=0 这 个 事实 ， 实 际 上 

(xX+lD) =x +2x+1=x +0+1=x +1 
e xz+x+l: 我 们 容易 验证 这 个 多 项 式 是 否 有 线性 因子 ，0+0+1=1z0， 
这 +1+1=1 关 0， 所 以 x*+x+1 在 ZZ/2[x] 上 不 可 约 。 它 也 是 2/2bd 上 惟一 的 二 次 不 可 
约 多 项 式 。 

对 于 系数 在 乙 /2 中 的 三 次 多 项 式 , 因为 二 次 项 系数 、 线 性 项 系数 和 常数 项 分 别 有 2 种 选 
择 , 所 以 总 共有 8 个 Z/2 上 的 三 次 多 项 式 。 如 果 我 们 只 考虑 不 可 约 的 ， 则 首先 可 以 把 常数 项 
为 0 的 《因为 它们 必定 有 线性 因子 x) 排除 。 对 于 那些 非 零 系 数 昌 输入 1 得 到 0 值 的 多 项 式 ， 
它们 必定 有 一 个 线性 因子 x+1。 请 记 住 ， 如 果 一 个 三 次 多 项 式 可 约 ， 则 它 至 少 有 一 个 线性 因 
子 。 

因此 在 Z/2[x] 上 只 有 两 个 不 可 约 的 三 次 多 项 式 ， 它 们 是 ”+x?+1 和 x +x+1。 

在 Z/2[W] 中 ， 三 次 项 系数 、 二 次 项 系数 、 线 性 项 系数 和 常数 项 共有 24 =16 种 选择 。 如 果 
常数 项 为 0 或 者 非 零 系数 的 个 数 为 偶数 ， 则 它 必 有 线性 因子 x 或 x+1。 

这 样 就 只 有 四 个 可 能 的 四 次 不 可 约 多 项 式 : 

x4+x3 +x +x+l 

x4+x3+1 

X4+X2+1 

x4+X+1 
容易 看 出 这 四 个 多 项 式 在 Z /2[x] 中 均 没 有 线性 因子 。 接 下 来 我 们 寻找 它们 的 (不 可 约 的 ) 二 
次 因子 ， 由 前 面 的 讨论 已 知 ，Z/2[x] 上 的 二 次 不 可 约 多 项 式 为 +x+1， 这 样 就 只 有 
x4+x2 +1=(x*+x+1)? 是 一 个 四 次 可 约 多 项 式 。 余 下 的 三 个 四 次 多 项 式 xt+x?+x*+x+1， 
xz4+ 妇 +1 和 x+x+l 则 为 Z/2[x] 上 的 四 次 不 可 约 多 项 式 。 

Z/2fxj 中 的 五 次 多 项 式 共 有 32 个 。 除 去 那些 常数 项 为 0 的 就 只 剩 下 16 个 ， 再 排除 那些 


有 偶数 个 非 堆 系 数 项 的 多 项 式 (它们 有 线性 因子 x+1)， 就 利 下 | ?| ]-s 个 需要 进一步 判 


别 。 这 8 个 多 项 式 没有 线性 因子 ， 所 以 它们 只 可 能 是 如 下 形式 的 低 次 多 项 式 的 乘积 ; 

不 可 约 的 二 次 多 项 式 x 不 可 约 的 三 次 多 项 式 
比如 ， 如 果 存 在 两 个 二 次 不 可 约 因子 ， 则 必定 有 一 个 线性 因子 。 我 们 已 经 知道 在 乙 / 2[x] 中 
只 有 一 个 二 次 不 可 约 多 项 式 ， 有 两 个 三 次 不 可 约 多 项 式 。 这 样 就 有 两 个 没有 线性 因子 的 五 次 
可 约 多 项 式 ， 它 们 是 


(xz +x+1): (x +x +D)=x +x+l 
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(x +x+lD): CO3s+x+D=z5+xz4+1 
这 样 在 Z /2[x] 中 就 有 六 个 五 次 不 可 约 多 项 式 。 除了 我 们 上 面 排除 的 可 约 的 形式 之 外 ， 那 
么 它们 必须 是 ， 具 有 常数 项 1， 非 零 系数 的 个 数 为 奇数 ， 当 然 还 不 能 包括 已 经 确认 的 两 个 可 
约 的 多 项 式 x ”+ x4+1 和 x +x+1。 这 样 ， 有 五 个 非 零 系数 的 四 个 五 次 不 可 约 多 项 式 分 别 是 : 
x +0+x? +xt +x+l 
x +x +0+xX +x+l 
x +x + +0O+x+l 
x +xX +X I +x +0+l 
而 有 三 个 非 零 系 数 的 两 个 五 次 不 可 约 多 项 式 是 : x” +x?+1 和 Xx” +X? +1。 
如 果 还 有 人 幻想 利用 Zp[x] 中 多 项 式 分 解 的 困难 性 来 实现 RSA， 那 么 请 你 赶紧 放弃 吧 上 
因为 这 里 已 经 有 一 种 快速 算法 可 以 分 解 这 些 多 项 式 了 。 


习题 


19.4.01 求 多 项 式 环 Qfx] 中 的 多 项 式 x +x1+x+x +xX+1 和 x4+x*+1 的 最 大 公 因 子 。 

19.4.02 求 多 项 式 环 Q[x] 中 的 多 项 式 x +x+xs +x +x +1 和 x + 汉 +x ++1 的 最 大 公 
因子 。 

19.403 求 多 顶 式 环 且 罗 中 的 多 项 式 二 + +1 和 吉 +x+1 的 最 大 公 因 于 ， 为 包括 = 
个 元 素 的 有 限 域 。 

19.4.04 求 多 项 式 环 Ffx] 中 的 多 项 式 xs+x4+x*+1 和 x +xs+x4+x?+1 的 最 大 公 因 
子 ，F; 为 包含 两 个 元 素 的 有 限 域 。 

19.4.05 求 多 项 式 环 Fz[x] 中 的 多 项 式 x; +x4+1 和 x”+x+1 的 最 大 公 因 子 ，F, 为 包含 两 
个 元 素 有 限 域 。 

19.4.06 求 系数 在 F, 中 的 两 个 多 项 式 x? +x” +x +x?+1 和 x3+x +x*+x? +1 的 最 大 公 
因子 。 

19.4.07 求 Fz[x] 中 的 两 个 多 项 式 x +x 3 +x lt+x0+x? +X +X)+XxX4+x3+1 和 
xz4+x2+x8+x7+x4+xz3+Lx+i 的 最 大 公 因 子 。 

19.4.08 求 系数 在 下, 中 的 两 个 多 项 式 

x Tx +x + +1 和 x8 寺 x +x 十 x +X?: +xX+1 的 最 大 公 因 子 。 

19.4.09 将 二 [x] 中 的 多 项 式 x1? ++x19 +x? +x5+l 分 解 为 不 可 约 因 式 的 乘积 。 

19.4.10 将 Fs[x] 中 的 多 项 式 x!? +x?+xs+x +x5+x5+1 分 解 为 不 可 约 因 式 的 乘积 。 


19.4.11 将 FIzj 中 的 多 项 式 x2 x x 十 x 十 Xx 十 x 十 Xx 十 xX? 十 1 分 解 为 不 可 约 因 式 的 
乘积 。 


19.5” 欧 几 里 得 环 


在 介绍 完 除 法 算法 和 欧 几 里 得 算法 以 及 域 上 重要 的 环 的 例子 (如 整数 环 和 多 项 式 环 ) 之 
后 ， 我 们 还 要 对 这 些 结构 进行 抽象 。 目 的 是 要 证 明 欧 几 里 得 环 有 惟一 的 分 解 。 这 个 结果 也 可 
用 到 整数 上 ， 只 不 过 这 里 我 们 将 证 明 以 前 想当然 的 结果 ， 即 整数 有 惟一 的 分 解 。 

一 个 交换 环 尺 上 的 绝对 值 记 为 |r| (reR) 是 一 个 具有 如 下 性 质 函数 ; 
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e@ 可 腾 性 : 对 所 有 的 r,seR,|rs|=|rl-|s|:; 

e 三 角 不 等 式 ; 对 所 有 的 r,s eR,|r+s|=<r|+|s|; 

e 非 负 性 : 如果 |r|=0， 则 x=0。 

如 果 环 上 的 绝对 值 具 有 这 样 的 性 质 ， 即 对 RR 的 任何 非 空 子 集 S$， 有 一 个 最 小 正 绝 对 值 
(5 的 元 素 的 绝对 值 集合 中 ) 的 元 素 ， 则 称 这 个 绝对 值 是 离散 的 。 

一 个 有 单位 元 的 交换 环 丸 是 欧 几 里 得 环 ， 如 果 存 在 一 个 尺 上 的 离散 绝对 值 ， 记 为 |r| ， 
那么 对 任意 xeR 和 任意 0 yeR， 使 得 存在 g，r eR ， 也 使 得 x=yg+r， 且 |r|<|y|。 这 
就 是 说 我 们 能 够 做 作 除 法 并 得 到 一 个 比 除 式 小 的 余 式 。 

在 上 述 定 义 中 假设 绝对 值 是 离散 的 ， 这 是 相当 重要 的 。 一 般 情 况 下 容易 判断 这 个 要 求 满 
足 。 比 如 ,如果 | | 就 是 整数 绝对 值 ， 也 就 成 了 通常 的 整数 的 绝对 值 ， 则 良 序 原则 就 保证 了 “ 离 

欧 几 里 得 环 重要 的 例子 就 是 整数 环 Z 和 域 & 上 的 多 项 式 环 k[x] , 整数 环 上 的 绝对 值 没 
什么 好 说 ， 我 们 来 看 一 下 多 项 式 环 上 的 绝对 值 。 定 义 | P(x)|= 24sr*? 且 |0F0。 这 里 的 2 可 以 
被 其 他 任何 大 于 1 的 数 代替 ， 这 是 一 个 多 项 式 环 上 的 绝对 值 。 

e 了 欧 几 里 得 环 尺 是 整 环 。 

证 明 ”我们 必须 证 明 环 RR 没有 ( 非 零 ) 零 因 子 ， 即 必须 证 明 如 果 录 =0， 则 zx 为 0 或 者 
为 0。 假设 y=0， 则 由 范 数 的 乘法 性 质 得 0=|0|=|xy|=|x|-|y|。|x| 和 |y| 都 是 非 负 的 实 
数 ， 而 且 它 们 的 乘积 为 0， 则 必须 其 中 之 一 为 0， 则 由 范 数 的 非 负 性 可 得 必 有 x,y 之 一 为 0。 
结论 得 证 。 全 

。 在 一 个 欧 几 里 得 环 R 中， 如果 xr eR 且 jr|<1， 则 x=0。 

证 明 因为 |ab|=|al:15|， 则 有 |x”|=|x『。 如 果 xz0， 则 方 察 |rT 形成 了 一 个 没有 最 小 
绝对 值 的 值 的 集合 ， 进 一 步 它们 构成 了 一 个 以 0 为 极限 但 不 包含 0 的 递减 序列 。 因 此 y=0。 

中 

。 在 一 个 欧 几 里 得 环 R 中 ， 一 个 元 素 w eR 是 单位 ( 即 它 有 一 个 乘法 逆 元 素 )， 当 且 仅 当 

jz|=1。 特 别 地 ，|1|=1。 

证 明 因为 1=1.1， 对 此 等 式 取 绝 对 值 并 由 绝对 值 的 可 乘 性 质 ， 可 得 |1|=|1:1|=|1|-|1|。 
在 实数 中 具有 性 质 z=z* 只 有 0 和 1, 因为 1#0, 我 们 得 出 |1|0, 则 必 有 |1|=1。 如果 uv=1， 
取 绝 对 值 则 有 1=|uv|=|z|-|v| 。 因 为 环 上 绝对 值 小 于 1 的 元 素 只 有 0 (由 前 面 的 讨论 )， 所 以 
|z| 和 和 |v| 都 大 于 等 于 1。 又 因为 它们 的 乘积 为 1， 则 它们 必须 都 是 1。 因 此 单位 的 绝对 值 为 1。 
男 一 方面 ， 假 设 |u1=1， 则 运用 除法 算法 ， 可 以 将 1 写 为 如 下 形式 


l=qg:utr 
这 里 jr |<lu|。 因 为 |ul=1， 所 以 |r|<1。 由 前 面 的 结论 可 知 ，r =0 。 故 1=g.u，g 就 是 刀 的 
乘法 逆 元 素 。 因 此 任何 绝对 值 为 1 的 元 素 为 单位 。 本 


定理 ”有 员 为 一 欧 几 里 得 环 ，x*,ysR, 形 如 sx+ 尹 (steR) 且 有 最 小 绝对 值 的 元 素 为 交 y 
的 最 大 公 因子 。 

证 明 对 绝对 值 离散 性 的 假设 ， 可 以 保证 在 绝对 值 | sx+ 尹 | 的 非 零 值 中 有 一 个 值 是 最 小 
的 。 设 g = sx+y 就 是 这 样 一 个 元 素 ， 我们 必须 证 明 g|x 和 sg|y 。 利 用 除法 / 约 简 算 法 ， 我 们 
有 

X=qg(sx+ty)+r 
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这 里 |r|<|sx+y|。 重 新 整理 这 个 等 式 得 到 

r=(1-gs)x+(-gt)y 
则 x 本 身 就 是 一 个 形 如 sx+ty》 《st'e R) 的 元 素 。 因 为 sx + ty 是 这 类 元 素 中 绝对 值 最 小 的 
一 个 ， 而 |r|<|sx+ty|， 因 此 必 有 r=0 。 因 此 sx+ 尹 整除 zx， 类 似 地 可 得 sx+ 尹 整除 > 。 这 
就 证 明了 sx+y 是 x 和 yy 的 一 个 因子 。 另 一 方面 ,如果 4d|x， 且 4|y， 则 4d|(sx+ty)， 因 此 
sx+ty 能 够 被 x 和 和 y 的 每 个 公 因 子 整除 。 全 

命题 “在 欧 几 里 得 环 R 上 ，peR 是 一 个 素 元， 如果 dlp， 则 有 |ad|=1 或 |4|=|p|。 也 
就 是 说 r eR 的 一 个 真 因子 2 满足 1<|d|<|r|。 

证 明 我 们 首先 来 回忆 一 下 交换 环 R 上 素 元 的 定义 pe R 是 一 个 素 元 ， 如 果 ab=p， 
则 有 a 或 者 4 为 单位 。 为 证 明 命 题 中 的 两 个 结论 ， 只 需要 证 明 : 如 果 ab=n， 则 a 和 4。 都 不 是 
单位 当 且 仪 当 1<|a|<|n|。 一 方面 ， 如 果 1<|a|<|n|， 则 因为 |n|=|ab5|=|a|-|5|， 可 以 得 出 
Inl>15|>1。 又 因为 环 R 上 的 单位 就 是 那些 绝对 值 为 1 的 元 素 ， 故 a 和 4b 都 不 是 单位 。 另 一 
方面 ， 如 果 ab=n 且 a 和 4b 痢 不 是 单位 则 有 1<|al 且 1<165|。 又 因为 |n|=|ab| 站 a|.|5|， 由 
此 即 得 |a|<{n| 且 |b|<|n|。 中 

引 理 设 p 是 哆 几 里 得 环 R 上 的 一 个 素 元 ， 如 果 plab， 则 pla 或 pb。 更 一 般 地 ， 如 
果 p|aj…a,， 则 p 必 整除 a 其 中 之 一 。 

证 明 ， 我们 只 需要 证 明 如 果 p|ab 且 p 不 整除 a， 则 p|b。 因 为 p 不 整除 a 且 p 是 一 个 素 
元 ， 则 p 和 a 的 最 大 公 因 子 为 1。 因此 ， 存 在 s,te RR， 使 得 1= sa+tp 。 由 此 可 得 

b=b:1=b.(sa+tp)= s(ab)+ (bi)p 
由 于 pjab， 当 然 有 p15b。 

一 般 地 , 如果 plal…a,， 将 乘积 al…a, 写 为 (a)(a,…a,)。 由 第 一 部 分 结论 , 则 有 pla 
或 者 p|a,…a, 。 如 果 是 第 一 种 情况 ， 则 结论 就 已 证 明 。 如 果 是 第 二 种 情况 ， 我 们 可 以 继续 
这 一 步 又， 即将 乘积 a,…a, 写 为 (a,)(a3…a,)， 则 有 p|a; 或 者 pja;…a,。 重 复 这 一 步 又 ， 
则 我 们 将 证 明 p 至 少 整除 一 个 因子 a。 全 

定理 在 欧 儿 里 得 环 R 上 ， 每 个 元 素 reR 都 可 以 分 解 为 r = wp" …P 2 的 形式 ， 其 中 zx 
是 一 个 单位 ，p; 是 不 同 的 素 元 ，e, 是 正 整数 。 如 果 + = vq ，…9, 关 是 另 一 个 这 样 的 分 解 ， 其 
中 v 是 一 个 单位 ，g, 是 素 元 ， 则 m =n ， 并 且 可 以 重新 排列 顺序 和 编号 使 q, = 户 xz ， 对 某 些 
u; 和 对 所 有 的 指标 i 。 并 且 还 有 e = f 。 这 也 就 是 说 这 个 分 解 是 惟一 的 。 

证 明 首先 我 们 来 证 明 素 因子 分 解 的 存在 性 。 假设 某 些 x e R 不 存在 一 个 素 因 子 分 解 ， 那 
么 利用 离散 性 ， 存 在 一 个 re R 没有 素 因子 分 解 ， 且 |r| 是 所 有 没有 素 因 子 分 解 的 所 有 元 素 中 
最 小 的 。 如 果 r 是 一 个 素 元 ， 这 当然 它 就 是 一 个 素 因 子 分 解 。 因 此 这 个 + 不 是 一 个 素 元 ， 那 
么 + 就 有 一 个 真 分 解 x=ab。 由 前 面 的 结论 , 可 以 得 到 1<|jal<|r| 和 1<|5|<|r|。 因 为 la|<|r| 
和 |b|<|r|， 由 r 的 极 小 性 ， 则 a 和 4b 都 有 素 因 子 分 解 。 那 么 + 的 素 分 解 则 可 由 a 和 5 的 素 因 
子 分 解 相 乘 而 得 到 。( 两 个 单位 的 乘积 仍 为 一 个 单位 1) 

下 面 我 们 再 来 证 明 分 解 的 惟一 性 ,假设 rz=z.D2 pe 且 还 有 + =v. gi 人 本 DD, 和 gq 
均 为 素 元 。 用 归纳 法 ,我 们 假设 m 是 存在 不 同 分 解 的 最 小 整数 ， 因 为 p| 整除 vq 人 … gq 而 
Pi 又 是 素 元 ， 则 由 前 面 的 引 理 ， pi 必定 整除 9 中 的 一 个 。 因 为 可 以 重新 编号 ， 我 们 不 妨 设 
Pi|91。 叉 因为 这 两 个 元 素 都 是 素 元 ， 则 它们 之 间 只 差 一 个 单位 ， 也 就 是 存在 一 个 单位 ， 
使 % =z:pl。 用 wp 代替 gq ， 可 以 得 到 
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up pm” = Vu pI Ng2 7 q3 qn" 

注意 到 vu 仍然 是 一 个 单位 , 因为 e 宇 1 且 fi 宇 !， 这 样 就 可 以 从 等 式 两 边 消去 至 少 一 个 
六。( 我 们 已 经 证 明 欧 几 里 得 环 是 整 环 。) 

由 归纳 法 ， 因 为 我 们 已 经 假设 m 是 出 现在 某 个 x eR 的 两 个 不 同 表 示 中 出 现 的 最 小 整数 ， 
在 去 除 相同 因子 后 余下 的 分 解 式 就 是 相同 的 。 在 必要 时 利用 单位 调整 素 元 后 ， 分 解 式 中 的 因 、 
子 和 内 子 的 指数 就 相同 了 。 4 

读者 可 能 会 注意 到 ， 在 所 有 这 些 证 明 中 我 们 并 没有 使 用 三 角 不 等 式 。 确 实 如 此 ， 但 实际 
上 根据 公理 化 观点 ， 任 何 作为 绝对 值 的 合理 替代 都 建议 是 其 自身 ， 因 为 根据 更 实际 的 观点 来 
看 ， 它 的 功能 和 绝对 值 一 样 ， 包 括 三 角 不 等 式 。 








现在 我 们 来 证 明 有 关 本 原 根 的 基本 结论 ， 它 们 是 简单 多 项 式 x” -1 的 因子 性 质 的 推论 ， 
这 些 结论 在 数学 及 其 应 用 的 许多 地 方 都 是 非常 重要 的 。 

分 圆 多 项 式 首次 出 现 仅 是 作为 一 个 辅助 的 研究 对 象 , 但 对 于 帮助 我 们 理解 在 乙 / 普 和 有 限 
域 上 的 代数 机 制 方面 是 非常 重要 的 。 


20.1 特征 
设 上 是 一 个 域 ， 丰 的 特征 char 大 就 是 使 得 


一 一 一 一 


成 立 的 最 小 正 整 数 x (如 果 存 在 )， 这 里 4 是 的 单位 元 ，0; 是 其 零 元 。 通 常 我 们 简写 为 
Ll = +li + :+l 
4 


《为 正 整 数 。 
如 果 没 有 这 样 的 正 整数 = 存在 ， 则 我 们 称 特征 为 0 。 因 此 有 charQ = 0 ， 反 之 则 为 
char(Z/p)=p 
命题 ”如 果 一 个 域 的 特征 非 零 ， 则 它 为 素数 。 对 一 特征 为 p 的 域 ，p 为 素数 ， 如 果 对 某 
个 正 整数 n， 有 
有 十 二 十 … 十 本 三 0 
5; 


n 


则 pl|n。 
证 明 假设 


1 +lit+' :+l = O07 
一 


n 是 满足 此 式 的 最 小 整数 ， 并 且 n 有 一 个 分 解 
n=a:b 
a,b 是 正 整 数 。 那 么 
(li +li++h) :ithe tt) = + + :+l = Ox 
TT 
因为 域 中 没有 真 的 零 因 子 , 则 必 有 a.1 = 0 或 5.1 =0。 我 们 假设 n 是 最 小 的 , 如 果 a.1, =0， 
则 a=n， 对 5 有 类 似 的 结论 。 因 此 ，n 的 分 解 n=a.b 不 是 真 分 解 。 因 为 n 没 有 真 分 解 ， 则 它 
是 素数 。 
假设 n.1, =0, 。 根 据 除法 算法 ， 有 n=gqp+r，0<r<p， 则 
0:=n:li =q(p:li)+r:l: =Or+r:ly 
由 此 , r.1 =0。 因 为 -<p，, 且 pp 又 是 满足 p16 = 0 的 最 小 正 整数 , 则 必 有 x=0, 即 有 pln。 
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正 特征 为 p 的 域 有 一 个 不 明显 的 特性 ， 但 这 个 特性 (以 下 命题 ) 却 在 理论 和 应 用 方面 起 着 十 


分 重要 的 作用 。 
命题 设 k 是 特征 为 p 的 域 ， 则 对 任何 k[x] 上 的 多 项 式 
f(x) =asxz ax + +ayx +ax+ao 
有 


f/x)” = a?x™ +aP ix? +… 十 GPX2P +agxz+at 


证 明 回想 一 下 ， p 整除 二 项 式 系数 | ? 0<i<p。 因 此 对 0<i<p 
了 


[os 
i 


那么 对 于 a, ek 及 任意 系数 在 域 i 上 的 多 项 式 g(x) 
(ax + g(xX)” =(a,x")" + > (fe se + g(x)? 
Qcicp 
因为 中 间 项 的 系数 


WH =(0k 
i 


(qsx” + g(x)” =abx™” + g(x)? 
将 这 一 结论 运用 于 g(x) 上 ， 取 g(x)=a,yx” + h(x) 
则 有 


所 以 可 以 去 掉 ， 那 么 就 剩 下 


g(x) =aP yx? + h(x)? 
重复 这 一 过 程 〈 也 就 是 归纳 法 )， 可 以 得 到 /的 结果 
f(x) =agxm +aP jx" DV +...+aPx? +apx? +at 
这 样 就 证 明了 结论 。 
例如 ， 系 数 域 = 世 /p ，p 为 素数 ， 则 有 


Pli 
+HD2 = ?+ >》 “+1=x2+1 
(x+l) =x 四 x 


Odicp 
并 有 
(x +1)?7 =x?+1 
x + ?+1 
20.2 重 因 子 


有 一 个 简单 的 方法 判断 多 项 式 中 一 个 因子 是 不 是 多 次 出 现 〔 系数 是 域 中 元 素 )。; 


法 在 理论 上 和 实际 计算 中 都 很 有 用 处 。 设 为 一 个 域 ， 对 于 一 个 多 项 式 
xz) = cx 十 +CIX+Cc0 
系数 c; 属于 上 ， 我 们 定义 


f'(x)= nc,x”-! 十 (72 一 Des_ix”™ 十 … 十 3c3x? + 2c2x 二 Cl 


全 
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备注 ”注意 我 们 只 是 简单 地 定义 了 一 个 “导数 ”， 是 纯 代 数 意 义 上 的 ， 没 有 附加 任何 限 
制 。 当 然 这 个 公式 已 被 假设 产生 了 一 些 熟知 的 性 质 ， 比 如 乘法 规则 。 我 们 可 以 利用 自己 的 有 
关 微 分 方面 的 知识 做 出 “合理 的 猜测 ”。 

引 理 ”对 多 项 式 环 k[x] 上 的 两 个 多 项 式 f,g ， 防 数 是 域 中 元 素 ，r ek ， 有 如 下 结论 : 

er 站 = 三 

® (f+g)=f'+g" 

® (fz)= fg+ fe 

证 明 第 一 个 结论 比较 容易 : 令 f(x) = asx”+…+aoc， 则 计算 

(r-(anx” + +a0)) = rarx” +raw xXx” + +rao) 
=m.(ra, )x”! +(m— Da x” +…+ral+0 
= ra (ax +(m—D).(an x+ ta +0)=r. f"(x) 
证 明 第 二 个 结论 也 不 太 困 难 : 设 f(x)=anx”+…+ag 和 g(x)=b,x”+.…+bo。 因 为 可 
以 给 次 数 较 低 的 一 个 多 项 式 添加 形 如 0.xs 的 项 ， 所 以 ， 不 失 一 般 性 ， 可 以 假设 m=n， 这 样 
则 有 
(FO) + g(2)) = (as + bi)x" + + (a + bi)x+(ao + bo)x") 
= Ma +b)x"™ (一 Da +b)x” ++l(a +Db)x +O0.x° 
=(nasx"™ +(n-l)a x” +: +1-ax)+(nb, x 十 十 (1 一 DB x" +… 二 1.Dx0) 
= f(x)+ g(x) 
现在 来 证 明 第 三 条 性 质 (结论 )。 首 先 看 一 下 如 果 和 g 均 是 单项 式 ， 也 就 是 /，g 为 
简单 的 形式 f(x) = ax”"，g(x) = bx”"。 一 方面， 我 们 有 
(f2)Y =(ax” bx”) = (abx”1") =ab(m+n)x™"-! 


另 一 方面 ， 


n-l m+n—il 


fg+ foe'=amxe”!.bx" +axr” .bnx”!=ab(m+n)x 
这 就 证 明了 对 于 单项 式 上 和 8g 满足 性 质 。 
为 了 获得 一 般 性 的 乘法 规则 ， 设 
f(x)=anx™” +，…+G0 
SOz)=DX +… 二 0 


Da 


itJj={ 


LY a:b, 


itj= 


| D(a)-b, 


itj=£ 


在 乘积 f(x)g(x) 中 x 的 系数 为 
在 乘积 的 导数 中 x 的 系数 为 
另 一 方面 ， Ag 中 x 项 的 系数 为 


局 ' 中 x 站 项 的 系数 为 


2 ai 人 


itj={ 


将 这 两 项 加 在 一 起 ， 就 得 到 fg+ 大 中 x 个 项 系数 为 
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> ao bit))=4 ab, 


itj=f it+j=#{ 
刚好 就 是 ( 房 7 中 对 应 项 的 系数 。 这 就 证 明了 乘法 规则 。 全 
命题 设 了 是 系数 为 域 人 上 的 多 项 式 ， 忆 是 系数 为 域 丰 上 的 不 可 约 多 项 式 。 一 方面 ， 如 
果 户 乘除 f， 则 P 整除 ged(f,f")。 另 一 方面 ， 如 果 上 的 特征 P 是 正 数 ，P 是 可 约 的 ， 每 个 
元 素 aek 在 k 中 有 P 次 根 ， 且 PP 整除 gcd(f,f')， 则 有 PP 整除 f。( 注 意 最 后 一 个 条 件 一 定 
成 立 ， 例 如， 在 PP 为 素数 的 有 限 域 Z/P 上 .) 
证 明 一 方面 ,假设 f=P*.g， 利 用 乘法 规则 有 
f'=2PP'.g+P’.g'=P.(2P'g + Pg') 
六 一 定 是 P 的 倍数 。 这 一 半 的 证 明 还 没有 用 到 PP 的 不 可 约 性 。 
另 一 方面 ， 假 设 P 整 除 f 和 f/f”( 实 际 上 P 整除 有 。 用 P 除 了/P， 可 以 得 到 
f/P=O:P+R 
RR 的 次 数 小 于 的 次 数 ， 那 么 =OP* + RP 。 两 边 取 导数 则 有 
f'=Q'P? +20OPP'+ RP+ RP’ 
由 假设 PI ff"， 则 等 式 右边 的 所 有 项 可 能 除了 RP' 均 可 被 PP 整除， 所以，P 亦 整 除 RP' 。 由 于 
P 是 不 可 约 的 , 它 又 整除 RP'， 则 必 有 PIR 或 P|P'。 如果 P|R， 而 RR 的 次 数 小 于 P 的 次 数 ， 
所 以 R=0。 即 有 P?|f ， 这 就 证 明了 我 们 的 结论 
如 果 P 不 整除 R， 则 必 有 PIP'。 因 为 P 的 次 数 要 低 于 P， 如 果 P 整 除 P'， 则 PP 必 为 零 
多 项 式 。 我 们 来 看 一 下 这 对 不 可 约 的 P 是 不 可 能 的 。 设 
P(x)=ax” +a, xXx” +..+a x +ax+ao 
那么 
P'(X)=na,x”™ +(n- Dax”™ 


这 个 多 项 式 要 为 零 多 项 式 ， 必 有 


+… 二 2aoz +al +0 


《ar=0 
t 为 所 有 的 下 标 。 这 也 就 是 说 ， 对 任何 下 标 4，a =0， 则 必 有 2 .1 = 0 。 因 为 P 至 少 有 一 
个 系数 是 非 零 的 ， 这 就 是 说 的 特征 不 为 0， 它 必 为 某 个 素数 p。 由 前 面 的 4.1, = 0,， 就 可 
以 得 到 p1f 。 这 就 可 以 得 出 : 如 果 系 数 a 非 零 ， 则 特征 pP14 ， 所 以 


一 pn plm-l) plm-2) 2p a 
fH) = apmX” +Apm DX 十 Gp(m-2)X 十 GapX 十 GpX 十 G0 


令 b; 是 中 a 的 p 次 方 根 。 由 前 面 的 缚 赴 论 ， 我 们 认识 到 f(x) 是 如 下 多 项 式 的 p 次 方 军 ， 


Dr 和 二 Do-DX tbom ax +tby px +b,x +bo 
但 如 果 P 是 个 p 次 方 蜂 ， 它 当然 不 是 不 可 约 的 。 因此 ,对 P 不 可 约 的 情况 ,不 可 能 有 PP 为 堆 
多 项 式 。 因 此 ， 只 可 能 有 R=0 。 于 是 忆 整除 /的 结论 得 证 。 人 


习题 


20.2.01 Fs[x] 上 的 多 项 式 x* +x*+1 有 一 个 重 因 子 ， 请 求 出 这 个 重 因 子 。 

20.2.02 F,[x] 上 的 多 项 式 xs + x4+x?*+1 有 一 个 重 因 子 ， 请 求 出 这 个 重 因子 。 

20.2.03 Fs[x] 上 的 多 项 式 六 +x ”+x +x4+ 让 +xX+1 有 一 个 重 因子 ， 请 求 出 这 个 重 因 子 。 
20.2.04 Fs[x] 上 的 多 项 式 记 +x+x+ 光 +x+ 训 +1 有 一 个 重 因 子 ， 请 求 出 这 个 重 因子 。 
20.2.05 Fy[x] 上 的 多 项 式 x+x ”+x +x* 十 x+x+1 有 一 个 重 因 子 ， 请 求 出 这 个 重 因子 。 
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20.3 解 分 圆 多 项 式 


x 是 一 个 域 ，b ek ， 则 4 的 指数 就 是 满足 b”=1 的 最 小 正 整数 nx 如果 存 在 的 话 )。 
即 如 =1， 但 对 0<d <n，4b* 1。 换 句 话说 ，5 是 多 项 式 x"--1 的 根 ， 但 5 不 是 x” -1 的 根 。 
我 们 将 要 描述 的 多 项 式 g, 是 ”= 次 分 圆 多 项 式 ， 是 其 一 个 指数 为 n 的 根 。 

给 定 域 i，n 是 一 个 不 被 的 特征 整除 的 整数 。( 如 果 特 征 为 0， 则 这 根本 就 不 是 条 件 。) 

引 理 ”m,n 为 两 个 整数 (可 以 被 特征 整除 或 不 整除 )， 则 有 


gcd {x” —1,x" -1)= x "1 
lcem (m,n) _] 





lcm(x” —1,x”—1)=x 
证 明 ”我们 对 m 和 的 最 大 值 做 归纳 法 。 首先， 如 果 m=n，x”-1=x”-1， 那 么 结论 
是 显然 的 。 其 次 ， 如 果 m >n， 做 一 个 因子 的 变形 
x" lx” "(x1)=x” “"-l 
因为 如 果 D 是 一 个 多 项 式 ， 且 DD 能 整除 x”-1 和 和 x”-1， 则 DD 也 整除 x”" -1。 由 归纳 法 


gcd (x” ” _ 1,x” _ 1) 一 XBd (由 2) _1 


但 是 
gcd (m,n)= gcd (m— n,n) 
且 
X 一 1=x "(x -1)+x”" 一 1 
所 以 


gcd (x” —1,x”—1)= gcd (x” "—1,x”—1) 
再 次 ， 如 果 m<n， 我 们 将 m,n 互 换 ， 重 复 上 述 过 程 ， 做 一 个 因子 的 变形 。 
x -1l—x” "(x” -1l)=x”™—l 
因此 如 果 DD 是 能 整除 x” 一 1 和 x” -1 的 多 项 式 ， 则 妃 整 除 x””-1。 由 归纳 法 


gcd (xz 一 1,x2” 一 1) = wad (n-mm) 1] 


但 是 
gcd(m,n) = gcd(n— m,n) 
且 
x"—l=x””.(x”—1)+x"” ”-l 
所 以 


gcd (x” -1,x"”—1)= gcd(x”"” -1,x” -1) 

这 就 完成 了 归纳 步骤 。 最 小 公 倍 因子 的 证 明 与 此 情形 完全 类 似 。 全 

引 理 ” 设 为 一 个 域 ，n 是 一 个 正 整 数 ， 上 的 特征 不 整除 nx， 则 多 项 式 x” -1 没有 重 因 
子 。 

证 明 ”由 前 面 的 结论 ， 只 需要 验证 x” -1 和 其 导数 mx” 的 最 大 公 因 子 gcd 为 1 即 可 。 因 
为 域 的 特征 不 整除 nxn， 则 .1 有 一 个 冬 法 逆 元 :1，t ek 。 我 们 来 做 一 个 带 余 除法 : 

(x" —D-(m)-(m")= -1 

因此 ，gcd(x” 一 1,nx”')=1。 引 理 得 证 。 * 

现在 假设 n 不 被 域 k 的 特征 整除 ， 定 义 n 次 分 圆 多 项 式 gp,(x) 〈 系 数 在 上 中 ) 为 
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X” 一 ] 


Pr Tm 1 0d mal 


这 里 所 取 的 最 小 公 倍数 为 首 一 的 。 
定理 没 m,n 为 整数 ， 域 的 特征 不 整除 m,n， 则 
e 0D, 是 首 一 的 ; 
e gcd(pn,pn)=1; 
e 9, 的 次 数 等 于 p(n)〔 欧 拉 函 数 )，; 
。p,(x) 还 有 一 个 更 为 有 效 的 表示 为 g(x) = 一 一 


[le | 


1<d<ndln 
。 多 项 式 x" -1 可 分 解 为 x”-1= [woo， 
1<qd<mqln 
证 明 首先 , 我 们 应 当 验 证 x” -1, 4d<n, qd|n 的 最 小 公 倍 数 整除 x” -1, 由 于 dl|n( 且 
d >0)， 则 有 x -1|x” -1《 这 可 由 高 中 代数 或 前 面 的 引 理 得 到 )。 因 此 ， 利 用 系数 为 域 上 的 
多 项 式 的 惟一 分 解 ， 可 得 所 有 能 整除 x” -1 的 因 式 的 最 小 公 倍 lcm 也 能 整除 x” 一 1]。 
其 次 ，W 为 首 一 的 结论 可 由 9, 的 定义 得 到 ， 因 为 它 是 首 一 多 项 式 x”" - 1 与 首 一 的 最 小 
公 倍 的 商 ， 必 然 是 首 一 的 。 
再 次 ， 我 们 来 确定 gcd (pw,2,) ， 首 先 注意 到 wo |x”-1，9, |x” 一 1 。 因 此 ， 
gcd (9m,9,) 整除 gcd (x” 一 1,x” 1) 
由 前 面 的 引 理 ， 我 们 可 以 得 到 
gcd (x” —1,x"—1)= x (m")—] 
再 由 9 的 定义 ， gp, 整除 
xm 一 1 
8] 
所 以 gcd (8 ,9 ) 亦 整除 上 式 。 因 为 n 不 被 特征 整除 ， 前 面 的 引 理 已 表明 x” -1 没有 重 因子 。 
因此 ， 由 gc4d(g,,9m) 整除 xs -1 的 事实 以 及 (x”-DAxsxw -1)， 可 以 得 到 
gcd (x” -1,x”—-1)=1.。 
第 四 ， 我 们 用 归纳 法 来 证 明 


x -1= II Pa (x) 


lgxd<n,adln 
对 n=1 9 结论 正确 ， 由 On 的 定义 ， 
x”—1=9,(x) -lem{xs  —l:din,0<d <n} 


x -1= [wx) 


Oc<ec<d,eld 
因为 我 们 已 经 证 明 ， 对 mn， 有 gcd (9,,9,)=1， 故 有 
lem{x” -1:dlm0<d<}= Ta 


dlnd<n 


对 d<n， 


因此 
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x" -1=9,(x). ps) 


dln,d<n 


关于 9, 阶 数 的 结论 可 以 由 已 经 证 明 的 欧 拉 函数 等 式 》 ,9g(d) =n 来 推 得 。 
dma>0 


至 此 ， 定 理 得 证 。 中 
习题 


20.3.01 求 分 圆 多 项 式 p,、@3、@4、 90s、 Ge、 Pe、 V9、 Pl2。 

20.3.02 不 用 直接 由 定义 计算 的 方法 ， 求 分 图 多 项 式 @i4、gie、 9lg、920、 924、 (yso 
20.3.03 用 两 种 方法 求 分 圆 多 项 式 gs 、 921 。 

20.3.04(*) 求 一 个 系数 不 为 0、+1、-!1 的 分 圆 多 项 式 。 


20.4 本 原 根 


现在 我 们 来 证 明 任何 有 限 域 大 的 乘法 格 尼 为 循环 群 。 扰 的 生成 元 有 时 称 为 上 的 本 原 根 。 
的 这 个 性 质 对 现代 的 素性 检验 和 现代 因 式 分 解 算法 非常 关键 。 

定理 ” 设 k 为 一 有 限 域 ， 则 为 一 循环 群 。 

证 明 设 g 是 大 中 元 素 的 个 数 , 单位 群居 是 一 个 群 。 因 为 上 是 一 个 域 , 则 任何 0zbek 都 
在 k 中 有 逆 元 。 因 此 启 的 阶 为 gq-1。 因 此 ， 由 拉 格 郎 日 定理 的 推论 ， 对 bz0， 

bl1=1 
也 就 是 说 ， 大 中 的 任何 非 零 元 素 均 是 多 项 式 f (x) = xz? -1 的 一 个 根 . 另 一 方面 ,由 
代数 基本 定理 ， 这 个 多 项 式 至 多 在 上 中 有 4 -1 个 根 。 因 此 ， oo 在 上 中 恰 有 9 -1 个 〈 不 同 ) 
的 根 ， 

设 p 为 的 特征 ，p 当然 不 能 整除 g - 1。 因 为 如 果 plg-1， 则 Fo = xz -1 的 导数 将 
会 是 0。 因此 ， gcd(f,f)=f, 那么 f 就 会 有 重 根 ， 而 前 面 已 指出 f 恰 有 gq -1 个 不 同 的 根 ， 
所 以 这 不 可 能 。 

因为 大 不 整除 9 -1 ， 我 们 还 可 以 运用 前 面 一 节 有 关 分 圆 多 项 式 的 结果 。 即 

xz -1= [wo 
dlq-l 
由 于 x9 ~1 在 中 有 gq 一 1 个 不 同 的 根 , .并 且 因为 这 里 的 py 两 两 互 素 ， 那 么 对 d14-1 的 wu， 
它 的 阶 数 等 于 它 在 大 中 根 的 个 数 。 因 此 ww 对 dl9g-1 在 上 中 就 有 pw(d)>0 个 根 ( 欧 拉 函数 )。 

最 后 ， gp,_1(x) 的 根 就 是 那些 满足 8 =1， 且 不 存在 e<g 一 1 使 得 b* =1 的 域 元 素 。 本 原 
根 就 是 g,_1(x) 的 根 。 分 圆 多 项 式 p, 有 gp(q 一 了 ) 个 根 。 因 此 ， 就 存在 pl(q 一 >0 个 本 原 根 。 
即 群 放 有 一 个 生成 元 ， 也 就 是 说 帮 为 循环 群 。 全 
20.5 模 p 的 本 原 根 


现在 我 们 来 验证 疡 个 元 素 的 有 限 域 Z/P 的 乘法 群 Z/p” 为 一 个 循环 群 。 该 群 的 任何 生成 
元 称 为 乙 / 疡 的 本 原 根 。Z/P 的 这 一 性 质 在 素性 检验 和 因 式 分 解 算法 中 相当 关键 。 

定理 ”pp 是 素数 ， 单 位 群 忆 /p” 为 一 循环 群 。 

证 明 ”作为 研究 分 圆 多 项 式 的 推论 , 我 们 已 经 证 明了 任何 有 限 域 t 的 乘法 群 六 都 是 循环 
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群 。 因 此 ， 我 们 需要 做 的 就 是 验证 Z/p 是 域 ， 也 就 是 说 必须 验证 任何 非 零 元 素 beZ/p 均 有 
一 个 乘法 道 元 。 

我 们 再 来 解释 一 下 , 为 什么 存在 乘法 逆 元 。 因 为 在 以 前 的 内 容 中 已经 论述 过 了 , 实际 上 ， 
为 素数 ， 如 果 b0mod p， 则 gcd(p,5b)=1。 内 此 存在 整数 s,t， 使 得 sp +1b =1， 对 这 个 等 
式 模 p ， 则 有 翅 =1mod p 。 也 即 1 为 bmodp 的 乘法 逆 元 。 电 


习题 


20.5.01 求 mod11 和 mod13 的 本 原 根 。 

20.5.02 求 mod17 的 本 原 根 。 

20.5.03 说 明 为 什么 容易 验证 2 不 是 模 7、17、31 的 本 原 根 。 

20.5.04 证 明 2 和 3 都 不 是 模 23 的 本 原 根 但 5 却 是 模 23 的 本 原 根 。 
20.5.05 证 明 2、3、4、5 都 不 是 模 41 的 本 原 根 ， 但 6 是 模 41 的 本 原 根 。 
20.5.06 证 明 模 191 没有 小 于 19 (整数 ) 的 本 原 根 ， 但 19 却 是 一 个 本 原 根 。 


20.6 ”素数 方 需 


因为 我 们 已 经 知道 ， 对 Z/p (p 为 奇 素数 ) 存 在 本 原 根 ， 那 么 证 明 Zz/ p* 中 存在 本 原 根 就 
不 难 了 。 对 于 ZZ/2p* 也 是 同样 道理 

定理 ”对 于 奇 素数 p ,，Z/p* 和 Z/2p* 都 有 本 原 根 , 也 就 是 说 乘法 群 Z/p”“ 和 Z/2p” 都 
是 循环 群 。 

推论 ”对 于 模 p 的 一 个 本 原 根 整 数 g，g 或 者 (1+p) g 是 modp* 和 mod2p* (e 宇 1) 
的 本 原 根 。 特 别 的 ， 如 果 ge 1mod p?， 则 g 是 modp 和 mod2p (对 所 有 e 宇 1 ) 的 本 原 
根 ， 否 则 (1+ p)g 会 取而代之 。 

在 证 明定 理 和 推论 之 前 ， 我们 来 看 下 面 这 个 命题 。 它 的 要 点 就 是 掌握 ZZ/ p” 中 一 定 类 型 
元 素 的 阶 ， 比 我 们 去 证 明 Z/P 有 一 个 本 原 根 更 加 重要 。 这 个 命题 可 用 来 证 明 关 于 本 原 根 的 定 
理 和 推论 。 

命题 设 p 是 奇 素数 ,对 于 1 <k<<e 的 整数 上 ， 以 及 整数 x，pp 不 整除 x， 则 Z/p” 中 元 
素 1+ px 的 阶 为 pr“。 特 别 的 ， 对 p 不 整除 x 且 宇 1， 

(1+ px)? =1+p*ty, y=xmodp 
证 明 这 里 的 一 个 重要 技巧 就 是 素数 p 整除 二 项 式 系数 


Pp P| .IP Pp 
1 12) ‘(lp-2)lp-!l 
而 且 p 是 奇 素数 ， 所 以 假设 p>2， 首 先 来 计算 
a ee +*? je l+ prrx? 
1 2 p-! 
=1+ Pt+1. .(x ?pe C+D 2 4.. .十 万 PE- (+DxP] 
2 


了 
因为 尸 整除 二 项 式 系数 ， 所 以 表达 式 y 模 后 同 余 x 。 我 们 来 看 最 后 一 项 p*-%*Dx? ， 由 
于 我 们 知道 k 之 1 且 p>2， 所 以 pk 一 (k+]) 之 1。 这 样 我 们 就 证 明了 
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(+p'x)?=1l+prry ， y=xmodp 
重复 利用 这 一 结果 〔 即 做 归纳 法 )， 可 得 

(1 + pex)? =l+py ， y=xmodp 
这 就 是 命题 中 的 那个 式 子 。 


现在 我 们 来 证 明 关 于 阶 的 论断 。 首 先 我 们 来 看 一 下 形 如 1+ px 的 元 素 在 Zp” 中 的 阶 是 
怎样 的 。 这 里 我 们 要 运用 拉 格 朗 日 定理 。 因 此 可 以 对 Z/ pp” 中 形 如 1+ px 的 元 素 进行 计数 。 
首先 ， 对 任意 整数 zx， 整数 1+ px 与 p 互 素 ， 这 就 得 到 了 ZV/ pe 的 一 个 元 素 。 另 一 方面 ， 如 
果 

l+px=1+px'mod p° 
那么 p*|(+px-1-px”)。 即 pi|(x-x”)。 所 以 如 果 x=x'mod pp ， 则 整数 14 px 和 1+ px 
表示 Z/p” 中 的 同一 个 元 素 。 同时，p “1 个 整数 x=0,1,2…,p”1 一 1 给 出 了 Z/p” 中 所 有 表示 
为 1+ px 的 元 素 。 

由 拉 格 朗 日 定理 ，Z/p” 中 任何 形 如 1+ px 的 元 素 的 阶 必 整除 pz 。 

这 个 限制 可 以 让 我 们 计算 (1 + p*x)” ， 来 给 出 阶 这 个 问题 的 确定 性 答案 ， 对 于 p 不 整 
除 x 的 情况 : 

(1+ po =1+ py 
这 里 y=xmodp 。 因 此 除非 £+4 宇 e ， 否 则 上 式 模 pr 不 为 1。 因 此 1+ pxmod p* 的 阶 为 p**， 
这 就 证 明了 命题 。 全 

推论 的 证 明 ”因为 推论 的 结论 比 定理 结论 更 强 , 因此 只 需要 证 明 推论 中 的 论断 即 可 得 到 
定理 的 证 明 。 

在 开始 我 们 的 主要 工作 之 前 , 我 们 来 看 一 下 为 什么 Z/ pr 的 一 个 本 原 根 g 也 是 Z/2p” 的 
一 个 本 原 根 。 主 要 的 理由 是 ， 对 于 奇 素数 p 

VCP)=(2-DP-Dp =(p-Dp” = 9(p") 
令 g 是 modp* 的 一 个 本 原 根 则 =p(p“) 是 满足 g' =1mod p" 的 最 小 整数 。 因 此 ， 就 不 存在 
更 小 的 指数 ,使 得 g'=1mod2p*。 又 因为 pr|2p*， 所 以 一 个 mod p" 的 本 原 根 也 是 mod2p* 
的 本 原 根 。 

现在 回 到 中 心 问题 上 来 , 即 Z/ p* 的 本 原 根 。 我 们 要 证 明 的 就 是 乘法 群 Z/p*” 对 某 些 g 
有 具有 形式 (g)。 令 gi 是 模 p 的 一 个 本 原 根 ( 存 在 性 是 有 保证 的 )， 现在 需要 对 g 做 一 些 适 当 的 
“校正 ”以 得 到 一 个 模 p* 的 本 原 根 ， 这 有 点 像 享 泽 尔 引 理 的 方法 。 事 实 表明 最 多 只 需要 一 个 
简单 的 校正 即 可 ， 所 以 从 某 个 角度 来 说 ， 这 要 比 享 泽 尔 引 理 中 的 运用 简单 些 。 

如 果 gP =1+ px ， 且 jp 不 整除 XxX， 那么 我 们 来 证 明 g 是 mod pe 的 一 个 本 原 根 ，e>1 。 
由 拉 格 朗 日 定理 ，g 在 Z/p” 中 的 阶 为 gp(p*)=(p-D)p” 的 因子 。 因 为 p-1 是 满足 
2{ =1mod p 的 最 小 正 指数 {， 所 以 p-1 整除 gj 在 Z/p” 中 的 阶 。( 由 循环 子 群 的 讨论 即 知 ) 
因此 ， sg 的 阶 必 是 下 列 数 之 一 

p-l(p-Dp,(p-l)p’,,(p-l)p’ 
因此 ， 问 题 转化 为 寻找 最 小 的 整数 ， 使 得 
BCP-DP =1mod 忆 
而 我 们 已 假设 gf” =1+ px ，p 不 整除 *， 那 么 就 是 要 寻找 最 小 的 正 整 数 4 ， 满 足 
(1+ px)? =1mod p* 
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由 命题 的 结论 , 满足 这 一 性 质 的 最 小 正 整 数 ! 为 e-~-1。 这 也 就 是 说 我 们 已 经 证 明 对 所 有 e 宕 1， 
81 是 模 疡 的 一 个 本 原 根 。 
现在 我 们 假设 
gf =1+px 
其 中 p|x。 考 虑 


S=(1+P)81 
显然 8 仍 是 模 的 本 原 根 。 因 为 g = g, mod p 。 下 面 计 算 


一 | 一 1 -1 
(2) 人 J 及 wk jj 1p” 
pp- 


—1 一 | 一 1 
EV) 
-一 一 一 


了 


Wie 


y=p-lmodp 


由 于 


所 以 


因此 p 不 整除 y， 所 以 
g?™ =((+p)g) =(+py)(l+ px)=1+ p(y+x+ pxy) 
因为 p|x， 所 以 
y+x+pxy=ymodp 

特别 的 ，p 不 整除 y+x+ pxy 。 因 此 ， 通 过 对 本 原 根 的 一 些 校正 ， 我 们 又 返回 到 前 面 一 种 情 
况 ， 即 g?"" 具 有 g? =1+ pz，p 不 整除 z 的 形式 。 这 种 情形 已 经 证 明 这 个 g 是 模 p*，e 宕 1 
的 一 个 本 原 根 。 

这 就 完成 了 对 在 p 为 奇 素数 时 ，Z/ p* 中 本 原 根 的 存在 性 的 证 明 。 全 


20.7 本 原 根 的 计数 


在 证 明了 本 原 根 的 存在 性 之 后 ， 我 们 感 兴趣 的 就 是 本 原 根 到 底 有 多 少 。 
定理 ”如果 乙 /2 有 一 个 本 原 根 ， 则 存在 
op(9(n)) 
个 模 n 的 本 原 根 。( p(n) 是 欧 拉 函数 )。 例 如 ， 若 p 奇 素数 ， 那 么 就 有 
pp(p)=9p-D)(p-Dp’™ 
个 模 p* 的 本 原 根 。 
证 明 有 Z/n 有 本 原 根 的 假设 说 明 乘法 群 Z/n* 是 循环 群 。 则 对 某 个 本 原 根 g 
Z/n” = (g) 
当然 ，g 的 阶 |g| 必 是 Z/r 的 阶 g(n) 。 那 么 从 循环 群 的 讨论 ， 我 们 可 以 列 出 (g) 的 所 有 不 同 
元 素 : 
gg ,8g ,gg 
并 且 
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kp KI 1g| 的 阶 
2 MW ls | -geal gD 
所 以 (g) 的 生成 元 必须 是 满足 如 下 条 件 的 元 素 : 
8 ，1 入 大 入 |g| 且 大 与 |g| 互 素 
由 网 拉 函 数 的 定义 ， 就 有 gp(| g1) 个 这 样 的 元 素 。 因 此 ， 由 |g|= p(n) ， 就 是 说 有 gp(g(n)) 个 这 
样 的 元 素 ， 即 有 gp(p(n)) 个 本 原 根 。 S 
推论 ”对 奇 素数 p ，Z/p” 中 本 原 元 的 比例 为 gp(p-D/p。 
证 明 ”这 只 需要 将 本 原 根 的 数量 与 Z/ p” 中 的 元 素数 量 做 比较 即 可 知 
olp(p') _ opp-D'(p-Dp”” _ 9(p-D) 


gp(p’) (p-Dp”” p 
推论 得 证 。 和 
备注 ”可 见 模 p* 的 本 原 根 还 是 相当 多 的 。 


20.8 不 存在 性 


对 一 般 的 整数 nx， 有 ZZ/n 中 不 存在 本 原 根 。 
定理 ”如 果 n 不 为 2，4， 也 不 具有 pr ，2p* 这 样 的 形式 ， 对 奇 素数 p (e 是 正 整数 )， 
则 不 存在 模 n 的 本 原 根 。 
证 明 首先 ,我们 来 看 一 下 Z/2r ，e>23 。 任 何 元 素 peZ/12“ 都 能 表示 为 5=1+2x 的 形 
式 ， 对 某 个 整数 x， 有 
(1+2x)* =1+4x+4z2 =1+4x(x+1) 
这 里 有 一 个 特别 之 处 就 是 对 任意 著 数 x，x(x+1) 都 能 被 2 整除。 实际 上 ， 如 果 x 是 偶数 ， 自 
然 x(x+]) 为 偶数 ， 如 果 x 是 奇数 ， 则 x(x+1) 亦 为 偶数 。 因 此 
(+2xz) =1mod8 
由 如 下 表示 。 (1+2x)? =1+2t1x+22x2 ， 可 用 归纳 法 证 明 
(L+8xz)2” =1mod2° 
两 者 结合 起 来 ， 便 有 
(+2x2 =1mod2° 
但 是 2 <2"1 =g(2:)， 即 对 e>2， 不 存在 模 2° 的 本 原 根 。 
现在 我 们 考虑 不 为 2 的 方 罕 的 情形 。 对 n 可 表 为 n= p'm，p 是 奇 素数 ， 且 不 整除 m ， 
由 哆 拉 定 理 ， 有 
bp2(P) =1mod p° 
b?™) ~ 1]modm 
令 M=lcem(p(p*),p(m))， 则 
DAM = (b? PY) 9p) = 1M/9(P') ~ lmod Pe 
且 
bY = (br MIP) 1M/9m) ~ 1 mod m 
因此 有 
b” =1modp°m 


但 是 一 个 本 原 根 g 有 这 样 的 性 质 ， 没 有 比 g(p“m) 更 小 的 指数 6， 使 得 g‘ =1mod pem 。 因 此 ， 
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除非 
Sca(P(LP ),9(m))=1 
否则 
licm(@(p’), pm)) < opp’ 9(m)= PCP 1) 

这 就 否定 了 存在 一 个 本 原 根 的 可 能 性 。 . 

这 里 , 我 们 需要 g(m) 与 9g(p*)=(p-1)p“ 互 素 。 实际 上 这 是 满足 的 。 因 为 p -1 是 偶数 ， 
这 意味 着 g(m) 必须 是 奇数 。 如 果 一 个 奇 素数 g|m， 则 4g -1 整除 g(m)， 这 就 必 使 p(m) 为 偶 
数 ， 这 是 不 可 能 的 。 因 此 ， 没 有 奇 素数 整除 m 。 更 进一步 ， 如 果 比 2 大 的 2 的 方 暴 整除 m， 
必 有 m 为 偶数 ， 所 以 不 存在 本 原 根 。 

因此， 除了 我 们 已 证 明 的 情况 存在 本 原 根 外 ， 不 存在 模 n 的 本 原 根 。 


20.9 ”搜索 算法 


Pp 为 素数 ， 如 果 我 们 知道 p -1 的 因子 分 解 ， 则 存在 一 个 合理 的 算法 来 寻找 模 p 的 本 原 
根 ， 因 为 我 们 有 一 个 有 效 的 标准 来 检验 一 个 元 素 5 是否 为 模 p 的 本 原 根 。 

引 理 ”pp 为 素数 ， 整 数 5 为 模 p 的 本 原 根 ， 当 且 仅 当 对 所 有 能 整除 p -1 的 素数 g， 有 

bP b/g 关 1mod 

证 明 如 果 b 是 一 个 本 原 根 ， 引 理 的 结论 显然 是 满足 的 。 另 一 方面 ， 假 设 对 一 特定 的 元 
素 b， 它 满足 引 理 的 条 件 。 令 gq 为 能 整除 p -1 的 素数 g 的 方 军 ， 并 令 1 是 9g 在 Z/p* 中 的 阶 ， 
则 由 费 马 小 定理 ，t| pp-1。 如 果 9" 不 能 整除 ! ， 则 有 tj(p-D/ 。 但 是 由 假设 ，1 不 能 整除 
(p-1)/g ， 因 此 g*|t 。 因 为 这 对 任何 整除 p -1 的 素数 g 都 成 立 ， 由 整数 的 惟一 分 解 ， 最 小 公 
倍数 m 也 整除 +: 。 当 然 ， 所 有 这 些 能 整除 p 一 1 的 素数 方 窘 的 最 小 公 倍 数 就 是 这 个 数 本 身 。 即 
m=p-l1， 且 pl|t。 因 为 :|p~1， 故 t=p~-1。 这 样 ，b 就 是 模 p 的 一 个 本 原 根 。 全 

备注 注意 能 整除 p -1 的 素数 的 个 数 小 于 log, P 。 

备注 ”回想 一 下 ， 模 p 本 原 根 的 数量 为 p(p -D ， 这 个 数量 大 于 (P-1D/4 。 因 此 随机 选 
择 本 原 根 命中 的 可 能 至 少 为 114 。 因 此 一 般 经 过 2 或 3 次 试验 后 ， 应 当 能 找到 一 个 本 原 根 。 

搜索 模 p 〈 p 为 素数 ) 本 原 根 的 算法 亦 可 描述 如 下 〈 利 用 p 一 1 的 分 解 知 识 ): 

。 随机 选择 一 个 5b 。 

。 对 于 能 整除 p 一 1 的 每 个 素数 g， 计 算 bpP? 了 modp。 

@ 如 果 这 些 值 有 任何 一 个 modp 等 于 1， 则 放弃 b 并 选择 男 一 个 元 素 。 

e 如 果 这 些 值 没 有 一 个 等 于 1(mod p)， 则 。 就 是 一 个 模 p 本 原 根 。 

备注 因为 在 Z/p* 中 至 少 有 1/4 的 元 素 为 本 原 根 。 那么 在 寻找 一 个 本 原 根 时 , 随机 选择 
的 成 功率 也 较 高 。 上 述 引 理 给 出 了 判断 一 个 元 素 是 否 为 本 原 根 的 有 效 方法 。 

备注 通常 ,2 或 3 为 一 本 原 根 ， 在 1000 以 内 的 168 个 素数 中 ， 仅 有 60 个 素数 ，2 或 3 
不 是 它们 的 本 原 根 。 而 且 在 这 168 个 素数 中 ， 也 仅 有 7 个 模 数 191，311，409，439，457， 
479 和 911 的 本 原 根 不 在 2，3，5，6，7，10，11 中 出 现 。 





任何 由 确定 的 过 程 生成 的 随机 数 序列 ， 也 就 是 输出 完全 由 输入 所 决定 的 序列 ， 从 实际 意 
义 上 说 都 不 是 随机 的 。 但 我 们 仍 想 知道 “随机 数 ” 到 底 是 什么 含义 。 要 想 准 确 地 描述 这 个 概 
念 是 比较 困难 的 。 

为 了 获得 “ 真 随机 数 ” 序 列 ， 最 好 的 来 源 似 乎 是 放射 性 物质 。 普 遍 且 经 常 使 用 的 随机 源 ， 
如 键盘 反应 时 间 《〈 即 两 次 击 键 之 间 的 延迟 )， 往 往 具 有 较 好 的 结构 ， 以 至 于 它们 不 适用 于 较 
重要 且 需 要 大 量 随 机 数 的 密码 应 用 。 | 

由 于 我 们 不 能 生成 真正 随机 的 数 ， 所 以 我 们 就 使 用 伪 随 机 数 发 生 器 (pseudo-random 
number generators)， 或 pRNG。 

我 们 对 pRNG 感 兴趣 的 一 个 应 用 是 产生 一 个 一 次 一 密 乱 码 本 ,这 将 在 下 一 节 中 进行 讨论 。 
但 是 要 想 获得 用 于 此 目的 的 质量 很 好 的 pRNG 是 很 困难 的 : 关键 问题 是 一 个 攻击 者 能 否 根 据 
密 铀 流 的 已 知 位 去 预测 后 面 的 位 。 特 别 的 ， 我 们 将 要 讨论 的 线性 移 位 寄存 器 (LEFSR) 是 很 确 
定 的 而 且 质 量 不 够 好 ， 因 为 Massey-Berlekamp 竺 法 已 表明 ， 由 一 定数 量 的 已 知 位 ， 可 以 很 容 
易 地 预测 后 面 的 位 。 但 是 ， 仍 然 有 许多 质量 较 好 的 pRNG 将 LFSR 的 输出 作为 它们 的 原始 输 
入 。 

伤 随机 数 的 另 一 个 应 用 是 模拟 ， 出 于 这 个 目的 ， 这 个 要 求 对 重要 的 密码 应 用 不 算 苛 刻 。 

有 些 时 候 ， 一 个 确定 的 过 程 不 能 产生 真正 的 随机 数 ， 实 际 的 标准 也 不 能 衡量 随机 性 。 然 
而 ， 可 操作 的 标准 就 是 ; 在 不 知道 密 钥 的 情况 下 ， 由 随机 数 序列 中 已 知 的 部 分 推测 下 一 个 数 
必须 是 “困难 的 ”( 对 攻击 者 )。 这 里 我 们 又 将 随机 性 问题 转移 到 男 一 个 问题 上 ， 即 “推测 ” 
的 含义 又 是 什么 呢 ? 

稍微 准确 的 讲 ， 一 个 PRNG 应 当 以 一 个 种 子 或 密 钥 作 为 输入 ， 然 后 生成 一 个 由 种 子 完全 
决定 的 比特 流 或 数 的 序列 。 

线性 同 余 、 线 性 反馈 移 位 寄存 器 以 及 相关 的 发 生 器 在 密码 学 意义 上 都 不 是 很 好 的 ， 但 它 
们 仍 可 用 于 模拟 。 某 些 相关 的 发 生 器 ， 称 为 滞后 的 裴 波 那 契 发 生 器 ， 它 们 有 相当 长 的 周期 ， 
但 都 是 不 安全 的 。 为 了 证 明 它 们 是 弱 的 pRNG， 我 们 将 给 出 对 它们 的 有 效 攻击 。 

相 比 较 而 言 ，Blum-Blum-Shub 发 生 器 被 认为 是 相对 安全 的 。 因 为 它 的 安全 性 已 被 证 明 
等 价 于 模 n 二 次 剩余 快速 算法 的 存在 性 ， 这 里 的 为 不 知 其 分 解 的 合 数 ， 而 这 个 分 解 也 被 认 
为 是 困难 的 。 但 问题 是 用 BBS 算法 产生 每 一 个 随机 比特 的 代价 相 比 其 他 算法 要 大 一 些 。 我 们 
也 会 描述 这 个 算法 ， 以 作 比 较 。 


21.1 假 的 一 次 一 密 乱 码 本 


在 我 们 称 为 异步 流 密码 的 应 用 中 ， 通 常 的 想法 是 一 个 大 小 适中 的 密 钥 生 成 一 个 看 上 去 是 
随机 且 很 长 的 模 m 的 整数 密 钥 流 


S = (so0,51,S2,53,. °°) 
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并 把 它们 作为 假 的 一 次 一 密 乱码 本 的 密 钥 ， 这 里 的 生成 使 用 了 一 个 选 定 的 pBRNG (对 某 个 模 
数 mm )。 

这 也 就 是 说 要 将 密 钥 流 S 简单 地 与 明文 x = (x0,x1,X2,…') 相 加 〔( 模 mm ): 

Ei(xX)= (xo + S50,X1 + 51,X2> 十 92) 

解密 就 是 对 应 的 减法 。 我 们 在 这 里 之 所 以 称 其 为 假 的 一 次 一 密 乱码 本 ， 是 因为 这 里 的 密 钥 流 
明显 不 满足 使 一 次 一 密 真 正安 全 的 “ 真 随机 性 ”要 求 。 

如 果 由 相对 较 短 的 密 钥 生 成 一 个 假 的 一 次 一 密 乱码 本 是 可 行 的 ， 那 么 这 个 系统 会 使 一 次 
一 密 乱 码 本 的 密 钥 管 理 简 单 化 ; 不 用 为 一 次 一 密 本 分 发 数量 巨大 的 密 铀 ， 只 要 将 生成 密 钥 流 
的 密 钥 〈 更 小 一 点 ) 分 发 。 比 如 下 一 份 报 文 的 密 钥 可 以 包含 在 每 份 报 文 的 末尾 。 

在 本 文中 ， 我 们 假设 主要 的 密码 问题 是 唯 密 文 攻击 。 注 意 到 如 果 密 钥 流 是 周期 的 ， 即 它 
本 身 是 重复 的 ， 那 么 这 个 密码 就 退化 为 维 吉 尼 亚 (Vigenere ) 密码 。 这 是 一 个 可 根据 字母 频 
率 很 容易 被 攻击 的 密码 。 因 此 ， 对 伪 随 机 发 生 器 的 第 一 需要 就 是 力图 保证 它 的 周期 尽 可 能 的 
长 。 


21.2 ” 伪 随 机 数 发 生 器 的 周期 


要 求 伪 随机 数 发 生 器 满足 的 第 一 个 条 件 就 是 〈 对 一 给 定 的 种 子 值 ) 生成 的 序列 不 应 当 重 
复 。 那 么 这 里 就 有 一 个 序列 周期 的 概念 。 这 个 概念 的 定义 如 下 ， 一 个 序列 s,s1,s2,s3,… 称 
为 是 周期 的 且 周 期 为 P ， 如 果 对 所 有 下 标 i 有 5s,, ,= si。 

但 是 ， 这 个 定义 还 有 一 点 限制 。 更 一 般 地 ， 称 序列 so,sl,s ,sj 是 (最终) 周期 为 p 
的 周期 序列 ， 如 果 存 在 一 个 指标 m， 使 

sp = 5S; 《对 所 有 的 i 之 i ) 
这 样 就 允许 在 序列 开始 有 一 些 不 规则 的 动作 ， 但 最 终 这 个 动作 是 周期 的 。 

当然 ， 并 不 是 每 个 序列 都 是 周期 的 。 但 由 一 些 简 单 的 机 制 ， 如 有 限 状态 机 ， 生 成 的 序列 
倾向 于 是 周期 的 。 第 一 个 问题 就 是 使 周期 尽 可 能 的 大 ， 这 个 问题 的 准确 含义 依赖 于 上 下 文具 
体 的 要 求 ， 在 后 面 的 各 种 例子 中 我 们 将 具体 说 明 。 


21.3 ” 同 余 发 生 器 


线性 同 余 发 生 器 本 身 不 适合 用 于 秘密 密 钥 密 码 ， 但 对 其 他 方面 的 应 用 却 是 有 用 的 ， 比 如 
模拟 。 尽 管 从 密码 意义 上 说 它们 不 够 好 ， 但 象 其 他 许多 失败 的 体制 一 样 ， 理 解 它们 是 如 何 失 
败 的 都 是 有 参考 价值 的 。 

最 简单 的 线性 同 余 发 生 器 可 由 指定 一 个 模 数 m 和 一 个 模 m 可 北 的 整数 a 得 到 。 对 一 个 
Z/m 中 的 种 子 s。， 伪 随机 数 的 序列 按 如 下 方式 产生 : 


gp =a.:s,.%m 
更 一 般 的 ， 固 定 一 个 模 数 m ， 一 个 模 m 的 整数 a 及 另 一 个 整数 b， 取 种 子 so eZ/m， 则 
伪 随 机 数 序列 按 如 下 方式 产生 
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SI=a:sot+b%m 

Sy =a:s tb%m 

Ss3=a:s>+b%m 

gi =a's,+b%m 
但 显然 只 要 取 5=0 就 是 前 面 那 个 较 简单 的 发 生 器 。 

比如 ， 取 闫 =17,a=22=7， 则 序列 的 下 一 个 元 素 可 由 前 面 的 一 个 元 素 按 下 面 的 方式 生 

成 
Sn 一 2.3S + 7%17 
取 种 子 so =1， 则 生成 的 擅 随 机 数 序列 为 
1, 9, 8, 6, 2, 11, 12, 14, 1, 9, 8, 6, 2, 11, 12, 14, 1, 9, … 

注意 到 如 果 选 定 任何 一 个 起 点 ， 若 干 个 数 后 它 又 一 次 出 现 ， 序 列 就 开始 重复 。 这 是 很 显 
然 的 ， 因 为 下 一 个 值 就 是 完全 由 前 面 的 值 确定 的 。 

在 这 个 例子 中 , 序列 的 周期 是 8, 而 且 Z/17 中 的 元 素 不 是 每 个 都 在 序列 中 出 现 ， 实际 只 
出 现 了 8 个 。 

再 来 看 一 个 例子 ， 取 m=17,a=7,b5=1， 则 序列 的 下 一 个 元 素 由 前 面 的 一 个 元 素 以 下 面 
的 方式 生成 ; 

5 1=7.s, +1%17 
取 种 子 so =1， 则 生成 的 伪 随 机 数 序列 为 
1, 8, 6, 9, 13, 7, 16, 11, 10, 3, 5, 2, 15, 4, 12, 0, 1, 8,…. 

跟前 一 个 例子 一 样 ，- - 旦 有 一 个 值 再 一 次 出 现 ， 序 列 就 开始 重复 。 这 是 显然 的 ， 因 为 下 
一 个 值 是 完全 由 前 面 的 值 确定 的 。 在 这 个 例子 中 ， 模 数 同 前 ， 周 期 为 16 ， 模 17 的 所 有 值 中 
只 有 14 没 有 出 现 。 

如 果 用 14 做 种 子 ， 我 们 会 发 现 得 到 的 序列 为 

14, 14, 14, 14, 14, 14, … 
这 显然 不 是 随机 的 。 

无 论 数 值 a,5,m, so 的 哪 一 部 分 选取 是 保密 的 ， 它 们 都 会 被 容易 地 从 一 小 部 分 51,s,,… 中 
恢复 出 来 。 实 际 上 ， 我 们 现在 应 该 知道 ， 有 一 个 很 大 的 密 钥 空间 是 必要 的 。 但 要 保证 一 个 密 
码 的 安全 仅 有 这 点 是 远 远 不 够 的 ， 这 种 情况 的 例子 就 是 维 吉 尼 亚 密码 。 

特别 的 ， 在 维 吉 尼 亚 密 码 的 讨论 中 ， 我 们 已 指出 了 一 个 明显 的 重要 问题 ， 序列 在 重复 之 
前 应 有 多 长 ? 也 就 是 说 其 周期 有 多 长 ? 即 满足 s, = so 的 最 小 整数 n 是 多 少 ? 注意 ， 如 果 
s = $0， 则 sw1=51， sn42 = 5s2， 等 等 。 如 果 随机 序列 的 周期 小 于 消息 的 长 度 ， 则 这 个 密 
码 就 是 一 个 维 吉 尼 亚 密码 , 它 很 容易 受到 Friedman 重合 指数 攻击 。 关 于 周期 长 度 的 问题 在 做 
一 些 技术 准备 之 后 我 们 将 给 予 详细 回答 。 

除了 有 较 长 的 周期 外 ， 还 有 一 些 准 则 应 当 满 足 。 我 们 不 准备 解释 这 些 准则 ， 但 仍 要 说 明 
一 个 线性 同 余 发 生 器 在 这 个 意义 上 是 好 的 ， 因 为 它 满足 了 许多 尚未 命名 的 准则 。 这 个 线性 同 
余 发 生 器 出 现在 Comm. of 4CM,vol31,1988,pp.1192 ~1201 中 。 取 

模 数 m= 214783647 
乘 子 a=16807 
(显然 这 里 的 5b 为 0)。 给 定 一 个 种 子 s。， 则 生成 的 伪 随 机 数 序列 为 
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sos(a:so)% m,(a” ‘so)% m,(a’ “So 大， 
模 数 m 为 素数 ， 而 且 a 是 模 m 的 一 个 本 原 根 。 而 且 我 们 发 现 模 数 是 一 个 梅森 素数 
2147483647 = 231 -1 
模 闫 最 小 的 本 原 根 为 7， 且 a=16807=7  ， 而 5 不 能 整除 疡 -1， 因 此 75 仍 为 模 疡 的 一 个 本 
原 根 。 最 后 ，a=7’ 相当 接近 于 m 的 平方 根 ， 实 际 上 要 稍 大 一 些 。 这 给 我 们 一 种 直觉 的 印象 ， 
乘 以 a 后 序列 要 “混合 ”的 更 好 一 些 。 


习题 





21.3.01 考虑 递归 定义 sw = cs,%26 ， 这 里 c 是 模 26 的 一 个 固定 整数 。 证 明 由 这 样 一 个 
递归 定义 生成 的 密 钥 流 的 最 大 可 能 周期 为 12 。 
21.3.02 考虑 由 下 式 定义 的 线性 同 余 发 生 器 工 
Xn = LX,)=7:x, +2mod13 
取 初 值 x。=6。 使 x 返回 到 初始 值 x。=6 的 最 小 整数 n 是 多 少 ? 周期 的 长 度 是 否 依 赖 于 
初 值 ? 找 出 一 个 “ 坏 的 ”初始 值 x,。s。， 满 足 L(xp6g) = xpod 。 
21.3.03 考虑 由 下 式 定义 的 线性 同 余 发 生 器 工 
Xn+1 = Lx)=6:x, +9mod1l 
取 初 值 z =4。 使 x, 返回 到 初始 值 x。--: 的 最 小 整数 n 是 多 少 ? 周期 的 长 度 是 否 依赖 于 
初 值 ? 找 出 一 个 “ 坏 的 ”初始 值 zw ， 满 足 L(xpag) = xpaa 。 
21.3.04 考虑 由 下 式 定义 的 线性 同 余 发 生 器 工 





Xn = L(x,)=7:x, +2mod1ll 


取 初 值 *, =6。 使 x, 返回 到 初始 值 x。=6 的 最 小 整数 n 是 多 少 ? 周期 的 长 度 是 否 依赖 于 
初 值 ? 找 出 一 个 “ 坏 的 ” 初始 值 xpw， 满足 L(xpag) = Xpag 。 


21.4 反馈 移 位 发 生 器 


现在 我 们 来 看 一 下 另外 一 个 随机 数 发 生 器 ， 尽 管 这 个 发 生 器 直接 用 于 秘密 密 钥 密码 是 不 
适合 的 ， 但 对 其 他 应 用 是 有 参考 价值 的 。 而 且 无 论 如 何 ， 我 们 必须 知道 它 为 什么 不 适合 。 固 
定 一 个 数 NN， 一 个 模 数 m (通常 m=2 )， 选 取 系 数 c = (c0,c1,…,cw_1) 。 另 外 选取 一 个 种 子 
或 初 态 。 = (s0,s1,52,53,…, Sw-1)， 这 个 初 态 也 是 密 钥 流 的 开始 。 我 们 对 nt1 宇 N， 递 归 地 定 
义 : 


. 9 
Sn+l = CoSn 十 Cl18Sn-1 十 C23Sp 2 十 十 CN-130 NI 了 1 


这 里 用 来 定义 密 钥 流 的 递归 定义 可 以 用 矩阵 来 表示 。 为 了 简单 起 见 ， 我 们 取 N=4， 由 
系数 c = (co0,cl,c2;c3) ， 构 造 一 个 矩阵 


OO 
OO 
一 OO 
SO OO 
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那么 递归 关系 则 可 表示 为 
Stl Sn 
2 |=C | ( 均 模 m) 
Sm-l Sn-2 
Sn-2 Sn-3 


比如 ， 假 设 模 数 m=2， 且 系数 co =Le =0,c; =0,c =1， 则 输出 序列 由 如 下 式 子 产生 : 
Sitl1 = Co 3 十 C1 S11 + C2 S82 + C3 :581-3 
=1.Si+0.sS +0.S +1.s,3 
= 3 十 53 
取 种 子 (s0,51,52,53) = (1,1,0,0) ， 则 生成 的 序列 (包括 初 态 (1,1,0,0)) 为 : 
1,1,0,0,1,0,0,0,1,1,1,1,0,1,0,1,1,0,0,1,0,0,0,.... 
在 这 个 例子 中 ， 如 果 一 个 先前 出 现 的 4 个 连续 比特 又 一 次 出 现 ， 则 序列 就 开始 重复 了 ， 因 为 
前 面 四 个 值 完全 确定 下 一 个 比特 。 初 态 (1,1,0,0) 在 第 15 步 后 开始 重复 了 。 
用 和 矩阵 来 表示 输出 序列 流 的 计算 ， 不 仪 对 计算 来 说 是 方便 的 ， 而 且 便 于 作为 一 个 密码 攻 
击 可 利用 的 弱点 。 
选取 不 同 的 种 子 ， 可 以 得 到 不 同 周 期 的 密 钥 流 。 有 的 选择 可 以 得 到 长 周期 的 密 钥 流 ， 有 
的 选择 获得 的 则 是 周期 较 短 的 密 铀 流 ， 当 然 系数 是 相同 的 。 出 于 这 个 考虑 ， 在 某 些 情况 ， 
系数 co,c1,c;,… 也 应 该 小 心 谨慎 地 选择 , 而 随机 地 选取 种 子 (50,s1,52,…) 。 为 了 深入 研究 周 
期 长 度 的 问题 ， 还 需 做 进一步 的 技术 准备 。 


习题 


21.4.01 考虑 一 个 线性 反馈 移 位 寄存 器 ， 它 由 如 下 的 递归 表达 式 s,, = 5 - s,_ 生 成 一 个 
密 钥 流 ，s,; 为 实数 。 证 明 不 论 选取 什么 样 的 种 子 s = (so ,si)， 都 将 生成 一 个 周期 为 6 的 周期 
密 钥 流 〈 或 者 是 6 的 一 个 因子 )。 

21.4.02 求 一 个 常数 ao ， 对 某 个 初 态 s,s ， 使 如 下 递归 式 ww = aos, +5,_1%26 生成 一 
个 周期 长 于 6 的 密 钥 流 。 

21.4.03 求 LFSR 的 周期 ， 其 初 态 为 (x0,x1,x2,x3) = (0,1,0,0) ， 定 义 为 

Xnrl = Xn 十 Xpn-l 十 Xn-2 十 Xn-3 

21.4.04 L 是 系数 为 00101 〈 升 序 ) 的 线性 反馈 称 位 寄存 器 , 并 设 初 态 为 10000 ( 按 升 序 )。 
L 返回 到 它 的 初 态 时 需要 多 少 步 ? 思考 在 初 态 再 次 出 现 前 ， 不 同 的 初 态 对 步 数 的 影响 如 何 ? 

21.4.05 工 是 系数 为 11101〈 升 序 ) 的 线性 反馈 移 位 寄存 器 ， 并 设 初 态 为 01000 按 升序 )。 
L 返回 到 它 的 初 态 时 需要 多 少 步 ? 思考 在 初 态 再 次 出 现 前 ， 不 同 的 初始 数据 对 步 数 的 影响 如 
何 ? 你 能 猜 出 这 与 梅森 数 2 - 1 的 初始 状态 有 关 吗 ?如 果 用 移 存 器 的 系数 作为 一 个 五 次 多 项 
式 ( 首 项 为 x”》 的 系数 ， 那 么 这 么 五 次 多 项 式 是 否 可 约 ? 是 否 一 致 ? 


21.5 Blum-Blum-Shub 发 生 器 


与 线性 同 余 发 生 器 、 线 性 反馈 移 位 寄存 器 和 其 他 类 型 不 安全 的 PRNG 相 比 ，BBS 发 生 器 
已 被 证 明 是 安全 的 ， 前 提 条 件 是 将 一 个 大 数 分 解 为 素数 形式 是 困难 的 。 由 于 这 个 关于 安全 性 
的 证 明 相当 长 而 且 较 难 懂 ， 这 里 我 们 就 忽略 掉 它 。 
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选取 (秘密 的 ) 两 个 大 素数 PP 和 9， p 和 9 都 满足 模 4 同 余 3, 并 计算 n= p.g。 模 数 n 可 
以 公开 而 且 可 以 重复 使 用 。 给 定 一 个 种 子 sy ， 用 如 下 递归 公 导 
2 
Si+l 二 Si % 
计算 出 序列 s,s,,s3,… 。 用 这 个 介 于 0 至 n-1 之 间 的 序列 , 我 们 用 下 式 得 出 一 个 伪 随 机 比特 
序列 : 


b; = s; %2 
因为 p 是 模 4 同 余 3 的 素数 ， 对 模 p 的 一 个 平方 > ， 公 式 
y=27/ 4 modp 


可 以 计算 z 的 一 个 平方 根 ， 因 为 这 个 平方 根 是 z 模 p 的 两 个 平方 根 之 一 ， 称 其 为 主 平方 根 。 
由 此 ， 平 方 映射 是 p 平方 集合 的 一 个 置换 ， 对 素数 4 亦 有 同样 的 结论 ， 因 此 《由 孙子 定理 》， 
平方 映射 是 模 平 方 集合 的 一 个 置换 。 

有 一 个 详细 的 分 析 表 明 ， 如 果 由 模 n 的 BBS 发 生 器 生成 的 比特 序列 与 一 个 随机 比特 序 
列 有 明显 的 区 别 ， 则 存在 一 个 快速 的 求解 模 n 平 方 根 的 概率 算法 。 实 际 上 ， 这 也 就 是 给 出 了 
一 个 将 n 分 解 为 n= pg 的 快速 概率 算法 。 由 于 这 个 详细 分 析 篇 幅 过 长 ， 这 里 就 不 复述 了 。 

对 于 长 度 大 于 512 比特 ( 约 170 位 的 十 进 制 数 ) 的 模 数 n， 在 合理 的 时 间 内 不 存在 分 解 n 
的 算法 ， 这 也 就 是 说 BBS 发 生 器 是 安全 的 。 

《1999 年 中 期 ，Adi Shamir， 即 RSA 中 的 那个 “S”， 设计 了 一 个 称 为 “Twinkle” 的 专 
用 计算 机 ， 这 个 部 分 是 模拟 、 部 分 是 数字 式 的 计算 机 可 以 比 以 往 的 计算 机 快 100 到 1000 倍 的 
速度 实施 因子 分 解 攻 击 。 这 使 得 512 比特 的 RSA 不 再 安全 , 因为 任何 真正 关心 并 且 具 备 一 定 
资源 的 人 都 可 在 几 个 小 时 内 分 解 512 比特 的 RSA 模 数 ， 而 不 是 以 往 的 十 年 。》 


21.6 ”Naor-Reingold 发 生 器 


Naor-Reingold 伪 随 机 数 发 生 器 [Naor，Reingold 1995] 还 是 比较 新 的 。Naor-Reingold 发 生 
器 是 BBS 发 生 器 的 变形 ,而 且 与 BBS 发 生 器 一 样 ， 如 果 假设 分 解 整数 N = p.g 是 不 可 行 的 ， 
则 Naor-Reingold 发 生 器 被 证 明 是 安全 的 。 这 里 p 和 g 均 是 比较 大 的 素数 ， 且 均 模 4 同 余 3， 
该 发 生 器 定义 如 下 : 

固定 n， 选 取 两 个 随机 的 n 一 比特 素数 p 和 g， 令 N=p.g， 然 后 再 随机 选取 一 个 模 入 
的 平方 g， 令 

a = (aio alta2z0G24 "An,0 On,1) 
是 一 个 长 为 2n 且 值 介 于 1 到 NN 的 随机 序列 ，+ = (xn…,r) 是 一 个 随机 的 0，1 比特 序列 。 对 
任何 长 度 至 少 为 2n 比特 的 整数 :， 令 B,,() 表示 t 的 二 进 制 展 开 式 的 向 量 ， 必 要 时 可 以 在 左 
边 填 充 0 以 使 其 长 度 达 到 2n 。 比 如 2n=6,t=13 ，! 表 为 二 进 制 即 13 =1101,， 因 此 
Be.(13) = (0,0,1,1,0,1) 
左边 的 两 个 0 是 填充 的 。 对 这 样 两 个 二 进 制 向 量 v = (wy)，w=(w…， ww) ， 其 中 六 和 
wi 都 为 0 或 1， 由 下 式 定义 一 种 向 量 的 模 2 点 积 : 
yw = Vy ) Wi Ww) = (CF wm? 


lsisn 


那么 对 n 维 0,1 向 量 x = (xi,…,x,)， 定 义 {0,1} 值 函数 为 
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ta, +03,x, HG 


f= fa =r: gm %N) 


则 我 们 有 如 下 定理 

定理 (Naor-Reingold) ”假设 分 解 入 是 不 可 行 的 ， 则 函数 f(x) = fw,gar(r) 的 输出 与 随 
机 比特 是 没有 区 别 的 ， 这 也 就 是 说 ， 序 列 

f(D, fC2),703)…., (7) 

与 一 个 随机 比特 序列 没有 区 别 ， 这 里 的 :和 NN 相 比 是 很 小 的 。 

备注 ”定理 的 证 明 在 某 种 程度 上 要 比 BBS 发 生 器 安全 性 的 证 明 容易 一 些 ， 但 它 的 篇 幅 
过 长 ， 这 里 就 不 证 明了 。 

备注 ”在 前 面 的 讨论 中 我 们 用 到 了 “随机 ”一 词 ， 其 含义 是 给 每 个 可 能 的 选项 赋予 了 一 
个 概率 ， 使 得 所 有 的 选项 有 相同 的 概率 ， 即 这 个 概率 分 布 是 均匀 的 。 并 且 必 须 假设 无 论 选 取 
什么 样 的 机 制 ， 获 得 Blum 整数 入 时 ， 选 取 素 数 忆 和 9 在 某 种 意义 上 说 是 充分 随机 的 ， 或 者 
使 得 分 解 N 不 可 行 。 

备注 ”关于 非 随机 比特 与 随机 比特 区 别 的 问题 值得 我 们 进行 深入 的 讨论 。 


21.7 ”线性 同 余 发 生 器 的 周期 


完全 掌握 一 个 线性 同 余 发 生 器 的 周期 只 需要 一 点 线性 代数 的 知识 。 为 了 简便 起 见 ， 我 们 
只 考虑 模 数 为 素数 的 情况 。 固 定 一 个 素数 p 为 模 数 , 取 aeZ/p”* 和 beZ/p， 首先 考虑 b=0 
的 情况 ， 这 比较 容易 。 考 虑 由 下 式 定义 的 线性 同 余 发 生 器 

SH1 = 4's Rp 

定理 ”只 要 种 子 是 模 p 非 零 的 , 则 线性 同 余 式 发 生 器 s, = a.si %p 的 周期 为 a 在 乘法 群 
Z/p" 中 的 阶 。 特 别 的 ， 这 个 阶 总 是 p 一 1 的 一 个 因子 ， 并 且 当 a 是 一 个 模 p 本 原 根 时 ， 该 阶 
为 最 大 值 p -1 。( 我 们 已 经 知道 这 样 的 本 原 根 是 存在 的 ， 并 且 有 wp(p 一 了 ) 个 。) 

证 明 因为 假设 种 子 so 是 非 零 的 (否则 , 序列 中 所 有 s, 都 为 0), 在 序列 中 5 =a’.so modp 
没有 一 个 是 模 疡 为 0 的。 考虑 周期 为 {的 情况 : 

Si = $5; 《对 所 有 充分 大 的 i) 
由 定义 即 得 
ad: .so0=qi .somodp 
两 边 除 以 so mod p ， 则 得 到 
an: =a'modp . 

消去 a' 则 变 为 a =1mod p 。 由 拉 格 朗 日 定理 (或 根据 费 马 小 定理 的 基本 计算 ) 有 Lip-1。 
即 LCG 的 周期 等 于 a 在 Z/ yp” 中 的 阶 。 我 们 已 经 证 明了 本 原 根 的 存在 性 ， 所 以 最 大 可 能 周期 
为 p-1。 全 

下 面 我 们 再 来 考虑 由 s;, = &:s +b%p 所 定义 的 更 为 一 般 的 线性 同 余 发 生 器 ， 即 在 前 面 
的 基础 上 加 了 一 个 非 零 的 常数 bp， 并 假设 a 1modp。 

定理 ”线性 问 余 发 生 器 s,,| = as +b%p 的 周期 为 a 在 乘法 群 Z/ p* 中 的 阶 , 只 要 种 子 值 
so 不 等 于 一 个 坏 种 子 值 ，sy = -(a-D71 .pgmodp 。 特 别 的 ， 这 个 阶 总 是 p--1 的 因子 ， 并 且 
最 大 可 能 值 为 pl1， 即 a 为 模 p 的 本 原 根 时 达到 最 大 值 。( 我 们 已 知 这 样 的 本 原 根 是 存在 的 ， 
且 有 9w(P-D 个 。) 
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证 明 这 个 发 生 器 可 以 用 2x2 和 矩阵 表示 如 下 : 


反复 使 用 这 个 式 子 ， 可 以 得 到 ; 


Sn+k-l 0 1 Sm-1 


为 了 理解 矩阵 


的 作用 ， 我 们 来 求 它 的 特征 值 和 特征 向 量 。 即 要 找到 一 个 数 4 〈 特 征 值 ) 和 2X1 和 矩阵 v( 特 
征 向 量 ) 使 得 
Lv=h:v 
也 就 是 说 我 们 要 找到 这 样 一 个 向 量 ， 乘法 对 它 的 作用 尽 可 能 地 简单 ， 尽 管 它 就 是 一 个 标量 乘 
法 。 
如 果 我 们 能 准确 地 求 得 特征 值 ， 那 么 对 应 的 特征 向 量 可 由 解 如 下 线性 方程 而 获得 : 
Lvy=A.y 
遍 菜 -哈密 尔 顿 定理 已 经 告诉 我 们 求 一 个 nxn 和 矩阵 M4 特征 值 的 方法 。 设 1 是 一 个 nxn 单 
位 矩阵 ， 令 x 为 不 定 元 ， 计 算 行 列 式 : 
Puy(x) = det(0 — M) 
这 个 多 项 式 称 为 M 的 特征 多 项 式 。 凯 莱 - 哈 密 尔 顿 定理 已 表明 ， 特 征 方程 Py (x) = 0 的 根 就 是 
M 的 特征 值 。 
当然 ， 在 整个 讨论 中 所 有 的 计算 都 是 模 p 的 。 
在 我 们 讨论 的 线性 同 余 发 生 器 中 ， 令 7 是 2x2 单 位 矩阵 ， 计 算 


P(x)= sl( »]-( MM 


-dl A 
注意 到 特征 多 项 式 与 5 无关， 因此 特征 方程 就 是 (x-a)(x -1) =0， 它 的 根 为 a 和 1。 为 求 特征 
值 a 的 特征 向 量 v=*]， 需要 求解 
该 式 可 以 化 简 为 如 下 方程 组 


a:x+b:y=a:x 
0.x+ty=a'y 


在 第 一 个 方程 中 消去 a.x，, 得 by=0。 第 二 个 方程 可 表 为 (a-Dy=0, 因为 a#1, 所 以 y=0。 
因此 我 们 到 [，] 为 a 的 特征 向 量 。 
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接 下 来 求 特征 值 为 1 的 特征 向 量 *= 人 | ， 这 需要 求解 
a bYx _1 x 
0 1hy) \y 
该 式 可 化 简 为 如 下 方程 组 : 
{810 77* 
0.x+y=y 


第 二 个 方程 实际 为 0=0， 总 是 成 立 的 。 第 一 个 方程 可 化 简 为 (a-Dxt+by=0。 
因为 a-1z0， 所 以 x=-(a-1)"by ， 即 x 惟一 地 由 y 确 定 ， 我 们 取 y=1， 即 得 到 特征 值 1 的 


wn “| 
1 


这 里 的 用 法 是 将 每 个 向 量 表 为 特征 向 量 标量 乘积 的 和 。 这 样 在 矩阵 乘法 下 更 容易 理解 它 
的 作用 。 


比如 我 们 可 以 将 初 坟 向 量 [ 表 为 如 下 形式 : 


s 1 1 人 1 -(a-D)'b 
-0):d 1 | 其 中 c,deZ/p 


由 此 式 的 第 二 个 方程 容易 得 到 4 =1， 由 第 一 个 方程 可 求解 c， 即 
So =c-(a-1)b 

则 
c=s0 -(a-Db 


-1 
2 =L GC +(a- ol + [ (a ) ”] 


-it 
=at(so +(a— os] ‘{ eo "| 


注意 到 上 式 的 第 二 个 被 加 项 没有 改变 ， 因 为 它 是 对 应 于 特征 值 1 的。 因此 ， 如 果 上 式 的 
第 一 项 为 0， 则 生成 的 随机 值 将 为 常数 。 故 坏 种 子 值 会 出 现 ， 当 且 仅 当 
so =-—(a-1) Lb 
这 就 证 明了 定理 。 3 


21.8 本 原 多 项 式 


本 原 多 项 式 的 概念 在 许多 应 用 中 都 是 必 不 可 少 的 。 
定义 Z/p[z] 中 的 六 次 多 项 式 已 称 为 本 原 多 项 式 ， 如 果 忆 |x> -1， 但 对 0<t<N 的 任 
何 整 数 上 : ， 己 不 整除 x* -1。 另 一 个 等 价 的 定义 为 : 六 次 多 项 式 己 为 本 原 多 项 式 ， 当 且 仅 当 
x” =1lmodP; 但 对 0<t<N，x'ximodP。 
定理 六 次 多 项 式 忆 是 本 原 的 当 且 仅 当 
xw =lmodP 
但 对 0<t<N 且 !N， 有 xz*lmnodP 。 


现在 我 们 来 计算 
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备注 “定理 表明 ， 我 们 不 必 去 全 部 验证 小 于 六 的 指数 ， 只 需 验证 所 有 N 的 因子 。 

证 明 只 需 证 明 如 果 x”=1modP， 存在 0<t<NN 使 得 x' =1modP， 那 么 对 NN 的 因子 
d，0<d<N，xs=1lmodP。 设 a，4。5 为 满足 如 下 条 件 的 整数 

gcd(lt,N)=aN+tbt 
则 
X8cd(W 1) = x + 一 (xy)2 x) =12 .2 =imodP 

注意 对 负 的 指数 , 我 们 需要 知道 x 是 模 忆 可逆 的 。 这 一 点 的 确 是 满足 的 , 因为 由 xy =1modP 
即 可 得 x.x”' =1modP 。 也 就 是 说 xy-: 是 模 P 的 逆 元 。 所 以 总 是 有 xs" =1modP 。 命 题 
得 证 。 全 

稍 后 ， 我 们 还 将 证 明 如 下 定理 。 

定理 F,[x] 中 的 n 次 多 项 式 P 是 本 原 的 ， 当 有 旦 仅 当 P 整除 (p” -1D 阶 分 圆 多 项 式 。 反 之 ， 
Fp[x] 中 (p” -1) 阶 分 圆 多 项 式 的 每 个 不 可 约 因 子 的 次 数 为 n 且 是 本 原 多 项 式 。 

备注 注意 到 在 该 定理 中 声称 (p” 一 1) 阶 分 圆 多 项 式 的 不 可 约 因 子 都 是 N 次 的 ， 这 一 点 
并 不 明显 。 

我 们 还 有 如 下 对 本 原 多 项 式 计数 的 推论 。 

推论 Fb[x] 中 次 本 原 多 项 式 的 数量 为 gp(p” -1)/n， 这 里 的 g 是 指 欧 拉 函数 。 

证 明 假设 我 们 已 证 明了 上 面 的 定理 , 那么 (p”--]) 阶 分 圆 多 项 式 的 不 可 约 因 式 怡 为 n 次 
本 原 多 项 式 。 另 一 方面 ， 我 们 已 经 知道 上 阶 分 圆 多 项 式 的 次 数 为 p(t) ， 因 此 (p” -1 阶 分 圆 多 
项 式 的 次 数 为 gp(p" -D 。 由 定理 的 结论 ， 这 个 分 圆 多 项 式 为 n 次 不 可 约 多 项 式 的 乘积 ， 因 为 
多 项 式 乘积 的 次 数 为 被 乘 因 式 次 数 的 和 ， 则 必然 有 (p” 一 ]) 阶 分 圆 多 项 式 的 gp(p” 一 1)/n 个 不 
可 约 因 子 。 由 前 面 的 讨论 ， 这 些 因 子 恰 为 次 本 原 多 项 式 。 推 论 得 证 。 全 

由 上 面 的 定理 ， 本 诛 多 项 式 为 不 可 约 的 。 风 此 在 对 本 原 多 项 式 计 数 时 ， 只 需 对 那些 次 数 
给 定 的 不 可 约 多 项 式 计数 。 一 个 整数 被 称 为 是 无 平方 的 (square-free)， 如 果 它 不 能 被 任何 素 
数 的 平方 整除 。 回 想 一 下 墨 比 乌 斯 函数 4 的 定义 ; 


(-1D ”如 果 n 是 无 平方 的 ， 且 恰 被 ! 个 素数 整除 
A(ODJ=311 若 mn=1 
0 若 n 能 被 某 个 素数 平方 整除 


定理 ”Fy[x] 中 首 一 的 次 不 可 约 多 项 式 的 数量 为 
二 和 pp 


lsd<ndln 


即 这 个 数量 为 


se om- ome 
n 


Diln Pup2in Pi,P2P3hn 
这 里 的 求 和 式 包 括 了 nn 的 不 同 素 因子 的 全 体 。( 后 面 证 明 .) 
该 定理 的 一 个 特殊 情况 由 下 述 推论 给 出 发 : 
推论 。 如果 n= pi 为 素数 ， 则 Flx] 上 首 一 的 4 次 不 可 约 多 项 式 的 个 数 为 
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Fa —p 
pi 

该 推论 的 证 明 很 容易 由 上 述 定理 得 出 。 特 别 的 ， 如 果 我 们 已 接受 了 定理 的 结论 ， 那 么 可 
以 得 到 , 次 数 为 且 使 得 (p” -1) 为 素数 的 所 有 不 可 约 多 项 式 为 本 原 多 项 式 。 这 必然 要 求 p=2 
或 p-1 是 一 个 真 因子 。 < 

推论 ” 设 产 为 整数 ， 且 2 -1 为 素数 ， 则 也 [x] 中 每 个 二 次 不 可 约 多 项 式 都 是 本 原 多 项 式 。 

证 明 前面 的 定理 已 经 表明 ， 每 个 4 次 本 原 多 项 式 都 是 不 可 约 的 。 在 这 里 次 不 可 约 多 
项 式 的 个 数 就 是 首 一 不 可 约 多 项 式 的 个 数 ， 由 上 述 定理 中 的 计数 公式 ， 有 一 个 "次 不 可 
约 多 项 式 。 另 一 方面 ， 由 前 面 对 首 一 本 原 多 项 式 的 计数 公式 ， 首 一 本 原 多 项 式 的 个 数 为 


sD. 因为 2" -1 是 素数 ， 则 有 





p92" -1D)=(2°-D)-1=2" -2 
可 见 ， 两 个 计数 方法 得 到 了 相同 的 结果 。 因 为 本 原 多 项 式 集合 是 不 可 约 多 项 式 集合 的 一 个 子 
集 ， 那 么 必 有 这 两 个 集合 相等 。 推 论 得 证 。 全 


21.9 ”线性 移 位 寄存 器 的 周期 


线性 反馈 移 位 寄存 器 (LEFSR) 完全 可 以 用 线性 代数 的 方法 来 分 析 ， 这 里 需要 用 到 本 原 多 

项 式 ， 设 c0,c1,…,cw | 为 一 个 LFSR 的 系数 ，LFSR 按 如 下 式 子 递归 定义 : 
Sn+1 一 Co3Sn 十 ClSn -1 十 2C28n-2 十 十 CN-ISn-N+l 

定理 ”如 果 多 项 式 xy -coxz -ex 一 -cx 一 -… 一 cwi 为 也 API 上 的 本 原 多 项 式 , 则 
以 ce0,c1,…cw 为 系数 的 LFSR 对 任意 的 初始 态 s0,s1,…,sw_1〔 非 全 为 0)， 其 周期 为 p*” -1 。 

备注 “如果 那 个 多 项 式 不 是 本 原 的 ， 则 周期 会 较 小 ， 并 且 存 在 几 个 坏 的 初始 状态 ， 使 得 
LFSR 的 周期 比较 小 。 

证 明 同 以 前 的 例子 一 样 ， 我 们 定义 矩阵 工 如 下 : 


Co CI C2 CN-2 CN 
0 0 ... 0 0 
0 1 0 … 0 0 
L= 
0 0 1 … 0 0 
0 0 0 1 0 


即 矩阵 的 最 上 面 一 行为 LFSR 的 系数 注意 它们 的 顺序 )， 次 对 角 线 上 元 素 为 1 ， 其 余 皆 为 0 。 
这 样 我 们 有 如 下 表示 : 


Sh Si 
S n-l Sn 
L. . |= 
Sn_N+2 Sn-N+l 
Sn—N+l Sn_N 


在 相对 较 简单 的 情况 下 ，LFSR 的 初 态 
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SN-1 


可 以 表示 为 线性 组 合 的 形式 ， 即 


通过 计算 行列 式 ， 容 易 得 到 矩阵 工 的 特征 多 项 式 正 好 是 
P(X)=x" -cox -cx ?cx 一 一 cv 
但 是 我 们 不 希望 去 解 高 次 的 多 项 式 方程 ， 所 以 也 不 能 按 LCG 中 的 方法 那样 直接 求解 。 这 样 ， 
我 们 将 要 求 所 有 的 特征 值 入 有 最 大 的 可 能 的 阶 , 也 就 是 最 小 的 正 整数 4 , 使 得 人 * 尽 可 能 的 大 。 
备注 这 里 有 一 个 问题 ， 如 果 我 们 仅 讨 论 有 限 域 忆 /PP ， 而 不 是 其 他 ， 则 我 们 就 无 从 去 求 
解 这 些 特 征 值 ， 因 为 我 们 可 能 不 能 在 乙 / 户 上 求解 特征 方程 。 尽 管 我 们 在 LFSR 的 定义 中 没有 
提 到 有 限 域 ， 但 需要 很 好 地 理解 在 有 限 域 上 考虑 LFSR 会 发 生 什么 。 但 目前 不 必 太 担心 这 一 


A 


假设 是 不 可 约 的 ， 那么 这 些 特征 值 在 有 限 域 F, 中 是 存在 的 (因为 P 是 N 次 的)。 在 
本 原 根 的 讨论 中 ,我 们 实际 上 已 证 明 任何 有 限 域 的 乘法 群 是 循环 的 ， 所 以 Fw 是 阶 为 p” -1 
的 循环 群 。 这 也 就 是 说 正 , 的 每 个 非 零 元 素 满足 

xz -1=0 

但 我 们 希望 排除 那些 较 小 次 的 元 素 〈 由 拉 格 朗 日 定理 ， 有 Pi 真 因子 的 次 )， 也 就 是 说 我 们 希 
望 考查 从 xzP -1=0 中 去 掉 所 有 x -1 (4 为 py -1 的 真 因子 ) 的 公 因子 后 剩 下 的 部 分 。 由 
分 圆 多 项 式 的 讨论 ， 去 掉 这 个 公 因 式 后 剩 下 的 恰好 为 (py -1D 阶 分 圆 多 项 式 。 

因此 ， 假 设 吃 是 不 可 约 的 且 整 除 (p” -1D 阶 分 圆 多 项 式 能 够 保证 每 个 特征 值 的 阶 为 
p” -1。 

下 面 来 考查 周期 的 条 件 

MG 

进一步 化 简 得 到 
(NM -+ +( -Ay)vw =0 
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或 
(A -D2w+ + -DAvw =0 
如 果 p” -1 能 整除 4， 那 么 面 和 式 中 的 每 一 项 均 为 0， 则 整个 和 为 0 。 

为 了 证 明 另 外 一 半 ， 即 这 个 向 量 的 和 为 0 ， 即 指 每 个 交 -1=0， 这 里 需要 了 解 一 点 关于 
特征 向 量 的 知识 。 首 先 ， 在 我 们 的 证 明 中 ，Pi 有 不 同 的 根 ， 这 是 因为 Pi 是 (p” -D 阶 分 圆 多 
项 式 的 因子 ,而 我 们 知道 分 圆 多 项 式 有 不 同 的 根 。 现 在 我 们 将 说 明 对 于 有 不 同 特征 值 1…, AW 
的 NxNWN 矩阵 MM ， 任 何 对 应 的 特征 癌 量 v 的 组 合 关系 

al:Vvit+..*+tavwvy=0 
则 必 有 所 有 的 系数 a; 等 于 0。 为 证 明 这 个 结论 ， 我 们 假设 有 这 样 一 种 关系 ， 它 在 所 有 这 样 的 
关系 中 有 最 少 的 非 零 a; 。 对 那个 等 式 两 边 同时 作用 M ， 则 得 
Mairvit':+Avav vy=0 
将 第 一 个 关系 式 乘 以 4,， 并 从 第 二 个 关系 中 减 去 这 个 关系 ， 则 得 到 如 下 向 量 关系 
(NM—ANi)av t+(Ay -hd)an vy=0 
这 样 做 的 结果 是 消去 了 第 7 项。 注意 ， 因 为 特征 都 是 不 同 的 ， 那 么 只 有 当 ;i= j 时 才 会 得 到 
和 4 一 4; =0。 因 此 就 得 到 一 个 有 更 少 非 零 系数 的 关系 式 ， 这 和 假设 矛盾 。 
因此 ， 在 上 面 的 讨论 中 ， 
(HDAv t+ -DM .v=0 
当 且 仅 当 所 有 系数 ( 儿 - 了 4 =0， 因 为 入 -=1， 本 身 不 为 0， 所 以 这 个 充分 必要 条 件 就 
是 对 所 有 的 i， 有 用--1=0。 因 为 每 个 1 的 阶 为 py -1， 那 么 只 有 当 且 仅 当 刀 p> -1。 这 也 
就 是 说 我 们 已 经 证 明了 这 样 一 个 LFSR 的 阶 为 p*” -1。 4 
备注 ”我们 没有 证 明 每 个 向 量 都 能 表示 为 特征 向 量 的 如 下 线性 组 合 
V=Q] VI 二 十 QGNVN 


因为 特征 值 是 互 不 相同 的 ， 这 个 结论 是 成 立 的 ， 这 里 我 们 就 不 证 明了 。 
21.10 ”本 原 多 项 式 的 例子 


作为 具体 的 例子 ， 我 们 来 确定 Fo[x] 中 次 数 不 超 过 8 的 本 原 多 项 式 。 我 们 使 用 的 准则 是 
F2[x] 中 的 nn 次 本 原 多 项 式 是 (2” -JTJ 阶 分 圆 多 项 式 的 不 可 约 因子 。 这 个 准则 对 次 数 较 小 的 多 项 
式 较为 实用 。 稍 后 我 们 给 出 一 种 针对 次 数 较 大 的 多 项 式 更 加 适用 的 计算 准则 。 

Fz[x] 中 的 一 个 线性 多 项 式 是 本 原 的 ， 如 果 它 不 可 约 且 整 除 (2 -1) 阶 分 圆 多 项 式 
Oo =X-1=x+1。 这 已 直接 表明 线性 多 项 式 x+1 是 本 原 的 ， 而 线性 多 项 式 x 却 不 是 。 

Fz[x] 中 的 一 个 二 次 多 项 式 是 本 原 的 ， 如 果 它 是 不 可 约 的 且 整 除 (22 -1) 阶 分 圆 多 项 式 

P71 = 3 = < =x +x+1 
9; 本身 就 是 二 次 的 , 容易 验证 x*+x+1 是 不 可 约 的 , 所 以 x* +x+1 就 是 模 2 惟 一 的 二 次 本 原 
多 项 式 。 
Fz[x] 中 的 一 个 三 次 多 项 式 是 本 原 的 ， 如 果 它 是 不 可 约 的 且 整 除 (23 -1D 阶 分 圆 多 项 式 








7 
x 一 ] 
9P = 7 = =X +X +x +x tx +x+l 
让 一 


由 斌 除法， 我 们 已 知 模 2 的 两 个 三 次 不 可 约 多 项 式 为 +x* +1 和 x +x+1。 为 验证 本 原 性 ， 
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将 两 个 多 项 式 相 乘 : 
( 妇 十 好 十 DO3 FX+D)=x +x Fx +X +x +x+l 
所 以 这 两 个 三 次 不 可 约 多 项 式 都 是 本 原 的 。 
Fs[x] 中 的 一 个 四 次 多 项 式 是 本 原 的， 如 果 它 是 不 可 约 的 且 整 除 (24 -1) 阶 分 圆 多 项 式 
x -1 
(xz +x+D(x’ -1) 
由 试 除法 ， 已 知 模 2 的 四 次 不 可 约 多 项 式 怡 有 3 个 : 
Xtx tx +Xx+1l, Xt+x +l, x t+x+l 
如 果 做 个 猜测 ， 后 面 两 个 是 本 原 的 〈 因 为 它们 看 上 去 相互 关联 )， 那 么 我 们 验证 
xt +xi +) :x +x+l)=x +x tx +x +X +x+l 
因此 ， 这 两 个 是 模 2 的 本 原 多 项 式 。 因 此 ，3 个 不 可 约 多 项 式 中 的 两 个 是 本 原 的， 注意 到 
x4+ 训 +x?+x+1 不 是 本 原 的 ， 因 为 它 实 际 上 为 9;。 这 意味 着 ， 它 的 每 个 根 的 阶 为 5 而 不 是 
15。 
FE2z[x] 中 一 个 五 次 多 项 式 是 本 原 的 ， 如 果 它 是 不 可 约 的 且 整 除 (25 一 了 ) 阶 分 圆 多 项 式 
、 x31 一 1 
x—1 
这 是 一 个 30 次 的 多 项 式 。 因 为 它 恰 好 是 五 次 本 原 多 项 式 的 乘积 ， 所 以 共有 30/15= 6 个 五 次 多 
项 式 。 由 试 除法 ， 我 们 可 以 找 出 这 6 个 不 可 约 的 五 次 多 项 式 : 


2 


P11 = Pis = x +x +x +x t+x +x+l 





Os 1 = P31 = 


x +O0+x 3 +x 


x5+x4+0+x2+x+l 


x5+x4+x+0O+x+l 


3 


十 大 十 


x+x4+x3+x2+0+1l 
x +x +l 
x’ +x:+1 
因为 存在 6 个 不 可 约 的 五 次 多 项 式 , 并 且 g, 也 有 6 个 不 可 约 多 项 式 , 所 以 它们 必定 是 相同 的 
6 个 不 可 约 多 项 式 。 如 果 表 示 怀 疑 ， 可 以 将 这 6 个 五 次 多 项 式 相 乘 ， 看 乘积 是 否 为 pai 。 
F2[x] 中 一 个 六 次 多 项 式 是 本 原 的 ， 如 果 它 是 不 可 约 且 整除 (25 -D = 63 =3.3.7 阶 的 分 贺 
多 项 式 
0(25-Th=op(3.3.7)=(3-0D3(07-D=42 
因为 ps 恰 为 本 原 六 次 式 的 乘积 ， 所 以 ps 应 当 有 42/16 = 7 个 六 次 本 原 多 项 式 。 但 有 多 少 个 模 
2 的 六 次 不 可 约 多 项 式 昵 ， 稍 后 我 们 将 证 明 这 个 计数 为 
25-2 -22+2 54 
6 6 
所 以 有 两 个 不 可 约 的 六 次 式 不 是 本 原 的 ， 到 底 是 哪 两 个 ? 如 果 不 进行 大 量 的 计算 是 难以 下 结论 的 。 
F2[] 中 一 个 七 次 多 项 式 是 本 原 的 ， 如 果 它 是 不 可 约 的 且 整 除 (27 -1D)) = 127 阶 的 分 圆 多 项 
式 ， 其 次 数 为 
2( 2 -D=127-1=2.3.3.7 
我 们 可 以 猜测 它 是 本 原 七 次 式 的 乘积 ， 那 么 应 该 是 12617=18 个 七 次 式 的 乘积 。 但 是 也 [xz] 上 
的 七 次 不 可 约 多 项 式 有 多 少 个 ?事实 表明 有 
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2 -2 -126 -18 个 
7 7 
所 以 所 有 模 2 不 可 约 的 七 次 式 都 是 本 原 的 。 
Fz[x] 中 一 个 八 次 多 项 式 是 本 原 的 , 根据 定义 ， 如 果 它 是 不 可 约 且 整 除 2* -1=255 阶 分 贺 
多 项 式 ， gyss 的 次 数 为 gp(25 -1) = (3-D(5-DO-D=2.4.6=48 ， 如 果 我 们 期 望 它 是 本 原 的 
八 次 式 的 乘积 ， 那 么 它 应 该 是 48/18 = 6 个 八 次 式 的 乘积 。 那 么 有 多 少 个 模 2 不 可 约 的 八 次 多 
项 式 呢 ? 由 我 们 后 面 要 证 明 的 公式 ， 这 个 数量 为 
2:—24 








3 =25 -2=30 
因此 在 30 个 不 可 约 的 八 次 式 中 仅 有 6 个 是 本 原 的 。 


习题 


21.10.01 在 F3 上 找 出 两 个 首 一 且 本 原 的 二 次 多 项 式 。 
21.10.02 在 F; 上 找 出 四 个 首 一 旦 本 原 的 二 次 多 项 式 。 
21.10.03 在 F: 上 找 出 四 个 首 一 且 本 原 的 三 次 多 项 式 。 
21.10.04(*) 找 出 Fs[x] 中 的 两 个 非 本 原 的 六 次 不 可 约 多 项 式 。 
21.10.05(*) 找 出 Fz[x] 中 的 至 少 一 个 本 原 的 八 次 多 项 式 。 


21.11 本 原 性 检验 


对 于 较 大 的 次 数 d ,我 们 需要 有 尽 可 能 高 效 的 方法 检验 Z/ p[x] 上 多 项 式 的 本 原 性 。 为 达 
到 这 个 目的 ， 我 们 将 进一步 精练 本 原 性 的 判别 准则 ， 还 将 给 出 几 个 例子 。 

定理 设 P 是 Z/p[x] 中 的 n 次 多 项 式 , 令 N=p"-1， 则 PP 是 本 原 的 当 且 仅 当 

xy =lmodP 

且 对 任何 整除 NN 的 素数 qg，x*”’? 1modP。 

证 明 ”我 们 已 经 知道 ，P 是 本 原 的 ， 当 且 仅 当 x*” =1modP 且 对 N 的 每 个 因子 4， 
0<d<N， 有 x” 1modP。 假 设 对 N 的 某 个 因子 4，0<qd<N， 有 x”=1modP。 
则 N/qd >1， 故 N/a 有 一 个 素 因子 ， 那 么 就 有 

XN19 = x N/dg) 一 (x dN/dg =1N/dg _ 1modP 

ee 所 以 N/dg 是 整数 。 定 理 得 证 。 全 

备注 ， 检 验 一 个 多 项 式 f 是 否 模 P 等 于 1， 就 是 用 PP 去 除 f， 看 余 式 是 否 为 1。 

备注 当然 可 以 运用 快速 指数 算法 。 

备注 Z/2[xz] 中 的 快速 指数 算法 运行 起 来 特别 快 ， 因 为 它 要 做 的 就 是 对 多 项 式 平方 以 使 
指数 翻 倍 。 例 如 在 乙 /2[x] 中 

(x+x+X+D2=x0+x8+x2+l 

例子 ”我们 来 检验 九 次 多 项 式 1+x“+x" 为 本 原 的 ， 而 1+x+x? 是 不 可 约 但 非 本 原 的 。 
在 两 种 情况 下 ， 我 们 都 默认 它们 的 不 可 约 性 。 为 了 简便 起 见 ， 我 们 将 Z/2[x] 中 的 多 项 式 表 为 
非 负 整数 的 形式 ， 整 数 i 出 现 当 且 仪 当 xi 在 多 项 式 中 出 现 ( 当 然 系数 为 Z/2 中 元 素 )。 

首先 ， 注 意 到 

29 -1=7.73 
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则 (由 拉 格 朗 日 定理 ) 


x =1mod 不 可 约 的 九 次 多 项 式 


或 


x ”=1mod 不 可 约 的 九 次 多 项 式 
如 果 这 个 九 次 式 是 本 原 的， 在 第 一 种 情况 下 ，x? 模 任 何 九 次 式 已 经 是 最 简化 的 ， 因 此 不 可 能 
有 x =lmod 不 可 约 的 九 次 多 项 式 。 在 第 二 种 情况 下 ， 用 快速 指数 算法 计算 


x modl+xt +x”: 
[中 
0 
[2] 
[4] 
[8] 
[8] 
{2,6,7] 
[0,3,5,7] 
[1,4,6] 
[1,4,6] 
因此 ， 


73 


73 [0] 
72 [ll 
36 所 
18 [1] 
9 0 
8 [0,4] 
4 [0,4] 
2 [0,4] 
1 [0,4] 
0 [4,6,8] 


x I =x +x +x modl+x4 +x 


下 面 我 们 来 检验 x01=lmodt+rx4+x 。 


x52 =-xmod1+x4+x? : 


中 
[2] 
[4] 
[8] 
[2,6,7] 
[0,3,5,7] 
[1,4,6] 
{2,3,7,8] 
[0,2,5,7] 
[1 
中 


512 [0] 
256 [0] 
128 [0] 
64 [0] 
32 [0] 
16 {0] 
8 [0] 
4 [0] 
2 [0] 
1! [90] 
0 0 


所 以 xz52 =xmodl+x4+x?， 故 1+x4+x? 是 本 原 的 。 


备注 ”如果 对 某 个 九 次 式 已 ， 满 足 


2 


9 
x” xmodP 


利用 2 的 方 守 ， 


那么 我 们 将 知道 这 个 九 次 式 已 是 可 约 的 〈 这 是 为 什么 ?” )。 比 如 
PoJ=1+ 友 =(G+x3L+X3+x6) 


=(1+x)(+x+x )l+x +x) 


我 们 来 计算 x ?mod P,，( 这 里 有 一 个 捷径 ) 
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容易 验证 
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512 一 x 56+8 二 (x )s , xs 
=1.x8=xsmodx?+1l 
结果 不 为 xmodx: +1， 所 以 间接 地 证 明了 x+1 不 是 不 可 约 的 。 
最 后 ， 我 们 来 验证 前 面 的 第 二 个 九 次 式 1+x+xz ， 用 快速 指数 算法 计算 


x I modl+x+x?: 





0 73 [0 

[1 7 0 

[2] 36 [0 

[4] 18 0 

[8] 9 0 

[8] 8 [0,] 

[7,8] 4 [0 
[5,6,7,8] 2 [oj] 
[1,2,3,4,5,6,7,8] 1 [0,1] 
[12,3,4,5,6,7,8] 0 [0] 


即 


x723 -1mod1+x+zx? 


这 就 证 明了 1+x+x? 不 是 本 原 的 。 
再 计算 一 下 x52 modl1+x+x?: 
HU $512 [0] 


[5,6,7,8] 16 [0] 


[1,2,3,4,5,6,7,8] 8 io] 
[1,3,5,7] 4 [0] 
[5] 2 [0] 
四 1 [0] 
[1 0 [0 
因此 x =xmodl+x+x?”， 因 为 1Hx+x? 是 不 可 约 的 。( 为 什么 ? ) 


习题 


21.11.01 验证 多 项 式 xs + x? +1 在 Fs[x] 中 不 是 本 原 的 。 

21.11.02 验证 多 项 式 x? +x4+x?+x+1 在 Fs[x] 中 不 是 本 原 的 。 

21.11.03 验证 多 项 式 x x +x 十 x +x* 二 x+1 在 Fs[x] 中 不 是 本 原 的 。 

21.11.04 证 明 : 如 果 2” -1 是 素数 ， 则 Fz[x] 中 任何 4 次 不 可 约 多 项 式 必 都 是 本 原 的 。 





为 了 更 好 地 理解 我 们 前 面 介绍 过 的 Z/p 《pp 为 素数 》 中 平方 根 、 立 方 根 等 公式 ， 还 需 
要 进一步 掌握 和 利用 群 的 概念 。 在 费 马 小 定理 的 情形 下 ， 这 些 公 式 以 猜想 的 形式 出 现 。 
但 从 整体 上 讲 ， 它 们 被 认为 是 必然 的 。 


22.1 和 群 同 态 


群 G 到 另 一 个 群 五 的 一 个 函数 (或 映射 ) 
f:G— HH 
称 为 一 个 群 同 态 ， 如 果 对 所 有 的 gj，&g,eG， 
f(g182)= f (2) (8,) 
设 eG 是 G 的 单位 元 ，ep 是 五 的 单位 元 ， 群 同 态 f 的 核 为 
了 的 核 = kerf ={g eG: f(g)=ep} 
的 像 跟 一 般 函 数 的 像 类 似 : 
j 的 像 imy = {he 五 :存在 ge G, 使 得 FCg) = 月 
令 f:G 一 五 是 一 个 群 同 态 ，eG 是 G 的 单位 元 ，ej 是 五 的 单位 元 ， 则 
e f 必 将 G 的 单位 元 映射 到 五 的 单位 元 ， 即 f(es)=ep。 
。 对 geG, f(g )=f(g)'. 
e /的 核 kerf 是 G 的 子 群 。 
e。 f 的 像 imf 是 万 的 子 群 。 
e 一 个 群 同 态 f:G 一 已 是 单 射 , 当 且 仅 当 j 的 核 是 平凡 的 ( 即 ker f 为 平凡 子 群 {eo} )。 
证 明 G 的 单位 元 ec 在 /下 的 像 f(ec) 有 如 下 性 质 : 
1 ec) = ec ec)= flec): flec) 
利用 群 G 单位 元 的 性 质 以 及 群 同 态 的 性 质 ， 左 乘 f(es) 1! ， 则 得 到 
fleo) .Jec)= /eco) (fleo): fleo)) 
化 简 整 理 后 得 到 ; 
ep = (fleg)” ‘flec): flec)=ep': flec)= ec) 
这 就 证 明了 了 将 G 的 单位 元 映射 到 五 的 单位 元 。 
为 了 验证 逆 元 的 像 就 是 像 的 逆 元 ， 由 群 同 态 的 性 质 ， 只 要 简单 地 计算 
f(g '):f(g)= f(g .2) 
再 由 逆 元 的 性 质 以 及 单位 元 映射 为 单位 元 的 事实 得 
(eg ‘8) = ec)=er 
同 理 可 计算 
f(8)- f(8 )=ep 
即 逆 元 的 像 就 是 像 的 道 元 得 证 。 
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为 了 证 明 群 同 态 了 :GH 的 核 ker /是 G 的 子 群 ， 我 们 必须 证 明 三 件 事 。 首 先 ， 必 须 
验证 ker f 中 单位 元 的 存在 性 ， 这 可 由 Fe-)= er 直接 得 到 。 其 次 ， 必 须 证 明 如 果 g eker /， 
则 gsker/。 用 上 面 已 经 证 明 的 结论 ， jg ) = f(g)”， 如 果 eg)=er ， 则 

f(g )=f(8) =en =en 
最 后 ， 假 设 x,ye ker 了 ， 则 
fx)= f(x): f(y)=ep :ep =ep 
所 以 核 中 元 素 的 “乘积 ”还 在 核 中 。 
现在 设 了 是 G 的 子 群 , 令 
f/(X)= {f(x):xeX} 
为 了 证 明 f(X) 是 五 的 子 群 ， 我 们 也 必须 验证 三 件 事 : 单位 元 的 存在 性 ， 对 取 逆 元 的 封闭 性 
以 及 对 乘法 的 封闭 性 。 首 先 ， 我 们 已 经 证 明 f(ec)=ej ， 子 群 的 像 包含 单位 元 。 其 次 ， 
f(g )= Ag) ， 即 子 群 的 像 对 逆 是 封闭 的 。 最 后 ， 由 f(xy) = f(x). f(y)， 根 据 群 同 态 的 定 
义 ， 像 对 乘法 亦 是 封闭 的 。 

最 后 , 我 们 来 证 明 同 态 f :G 一 五 是 单 射 当 且 仅 当 ker f 是 平凡 的 。 首先 , 如 果 了 是 单 射 ， 
则 至 多 有 一 个 元 素 可 被 映射 到 er eH 。 因 为 我 们 已 经 知道 通过 该 同 态 至 少 有 ec 被 映射 到 
er ， 因 此 ， 必 然 只 有 ec 被 映射 到 ey 。 所 以 ker f = {eo} 是 平凡 的 。 

另 一 方面 , 假设 ker f 是 平凡 的 。 我 们 将 由 假设 f(x) = f(y) ,证明 x = y。 对 f(x)= f(y) 
左 乘 f(g) ”， 则 得 到 

en = f(x) f(x)= fx) f(y) 
由 群 同 态 的 定义 ， 
er = f(x) "f= Ac 
因此 x ly eker 了 ， 由 假设 zy = eo ， 左 乘 x， 即 得 y=x。 这 就 证 明了 单 射 性 。 和 a 

如 果 群 同 态 f:G > 态 是 满 射 ， 则 称 厂 是 G 的 同 态 像 。 如 果 群 同 态 / :G -> 已 是 双 射 ， 
则 称 了 为 一 个 同 构 ，G 和 五 称 为 同 核 的 。 

备注 “从 理论 上 看 ， 同 核 的 两 个 群 可 以 被 看 成 是 “相同 的 ” 从 这 个 意义 讲 ， 任 何 本 质 
群 论 的 论断 如 果 在 一 个 群 上 是 正确 的 ， 则 在 另 一 个 同 核 群 上 亦 成 立 。 但 是 ， 在 实践 中 ， 经 由 
同 核 的 结构 转变 是 难以 计算 的 。 


习题 


22.1.01 由 Z (加 法 ) 到 Z/N ( 模 N 加法) 的 同 态 xz 一 xmodN 的 核 是 什么 ? 
22.1.02 设 M,N 为 正 整数 ，N | M ， 那 么 由 Z/M 〈 模 M 加 法 ) 到 Z/N ( 模 N 加 法 ) 
的 映射 xmodAf 一 >xmodN 的 核 是 什么 ? 


22.1.03 令 det:GL(2,Q) 一 Q" 为 普通 的 行列 式 


cl | =ad~bc 
cd 


通过 计算 证 明 det 是 一 个 群 同 态 。 

22.1.04 对 任意 获 数 n 和 正 整 数 N， 由 f(x)=n-x 定 义 的 映射 f;Z/N -> ZN 是 一 个 群 
同 态 〈 模 六 加 法 )。 

22.1.05 对 任意 整数 n 和 正 整 数 N， 由 f(x) = 六 定义 的 映射 A:ZV1N >Z/N* 是 一 个 群 


群 朱 更 多 和 和 如 -- 2 


辣 态 。 
22.1.06 固定 一 个 正 整 数 N， 证 明 对 任意 群 同 态 f:Z/N 一 Z/N ( 模 六 加 法 ) 存在 一 个 
整数 hn， 使 得 f(x) =n.:x。( 提 示 : n= AD ， 并 利用 f(x)= AQ+.…+D)。 


x 


22.1.07 证 明 映 射 1> E 


a b 
0 gd 
非 零 的 有 理 数 ，b 为 任意 的 有 理 数 ，Q” 为 非 零 有 理 数 集合 ， 该 同 态 的 核 是 什么 ? 


b 
22.1.09 正明 | -5 下 是 -个 NI 


是 Q 到 GLO,Q) 的 一 个 了 税 的 同和 


22.1.08 正明 器 虹 | ] “是 所 有 和 隆 | 的 区 到 有 法 悦 Q" 的 同志 。 这 里 a,， 4 为 


22.1.10 定义 陵 肝 5:0 > GLC2.Q) 为 >， 中 证 明 E 是 由 Q@ 《加 法 ) 到 GL(2,Q) 的 
子 群 的 群 同 态 。 


和 2 


22.1.11 定义 映射 E:Q 一 GL(3,Q) 为 2 。 证 明 E 是 由 Q (如 法 ) 到 GL(3,Q) 
1 


1 x 
XY 一 |0 1 

0 0 
的 子 群 的 群 同 态 。 


22.1.12 定义 映射 r:R 一 GL(2,R) 为 :=| 


GL(2,R) 的 子 群 的 群 同 态 。 
22.1.13 设 n 是 整数 ， 证 明定 义 为 f(x)=nx 的 映射 f:Z ->Z 是 同 态 。 
22,1.14 证 明 一 个 同 态 f:G > 总 是 具有 性 质 : f(g!)=f(g)!', geG。 
22.2 有限 循 环 群 


一 个 有 限 群 G 是 循环 群 ， 如果 存在 ge G， 使 (g) = G 。 这 个 元 素 g 称 为 G 的 生成 元 ，G 
称 为 是 由 g 生成 的 (无 限 循环 群 放 在 下 一 节 讨 论 ;。 有 限 循环 群 是 所 有 群 中 最 简单 的 ， 并 且 
容易 被 理解 的 一 类 群 。 

令 NN=|G1, 因 为 G=(《g)， 则 N=|g|。 如 下 一 些 结论 (以 前 已 经 证 明 过 的 ) 是 很 重要 的 。 

。 元 素 e=g',g',g ,…g 7,g" 构成 了 G=(g) 的 不 同 元 素 列表 。 

e 对 任意 著 数 i,j ，g' = g/ 当 且 仅 当 i= jmodWN。 

® 给 定 整数 j， 设 i 是 j 模 N 后 的 约 简 ， 则 g/ =g'。 

有 限 循环 群 的 所 有 子 群 和 所 有 生成 元 均 可 完全 掌握 : . 

。 G 的 不 同 子 群 恰好 就 是 子 群 (g”)，4 为 Y 的 所 有 因子 。 

。 对 于 4d1N ， 子 群 (8?) 的 阶 就 是 g? 的 阶 N/d 。 

。 对 于 任意 整数 上 z0 ，8& “的 阶 为 V/gcd(t,N) 。 

。 对 任意 整数 4， 我 们 有 (g”)=(gs**")。 


C05X 2 证 明 ” 是 由 及 〈 加 法 ) 到 


一 Sinx COSX 
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。 G 的 不 同 生成 元 为 元 素 g" ， 这 里 1 和 r <N 有 日 gcd(r,N)=1。 因 此 共有 wg(N) 个 生成 元 ， 
9 指 欧 拉 函数 。 
e 在 阶 为 N 的 有 限 循环 群 中 ， 阶 为 n 的 元 素 个 数 为 零 ， 除 非 当 n|N ， 则 个 数 为 N/n。 
备注 ”这些 性 质 可 以 用 文字 来 表述 。 例 如 ， 一 个 有 限 循环 群 的 每 个 子 群 仍 是 有 限 循环 群 ， 
且 其 阶 整除 群 的 阶 。 反 之， 对 群 的 阶 的 每 个 因子 ， 存 在 这 个 阶 的 惟一 子 群 。 
证 明 我们 来 证 明 g* 的 阶 为 N/gca(k,N)。 首 先 , 如 果 (g*)f =e=g0, 则 到 =0modN ， 
即 N|k 。 也 就 是 存在 一 个 整数 m， 使 k=mN ， 用 gcd(k,N) 同时 除 等 式 两 边 ， 得 
km 
gcad(k,N) gcad(k, N) 
因为 N/gedth,N) 和 /gedtk, NN) 是 互 素 的 ， 巾 惟一 分 解 定理 -CEA 14， 因 此 a， 实际 的 队 
为 N/ gcad(k, 入) 的 倍数 。 另 一 方面 
(g")™ /gcdUbN) 二 (g* )*/ scdkN) 二 @*/ gcd(k,N) ~ 
注意 ， 这 里 用 到 了 N/ gcd(k,N) 和 k/ gcd(k, 入 ) 均 为 整数 这 个 事实 ,所 以 这 里 的 表示 均 是 有 意 
义 的 ， 这 也 就 证 明了 g* 的 阶 是 N/ gcd(k,NN)。 
作为 一 种 特殊 情况 ， 如 果 |N ， 则 g* 的 阶 为 N/ged(k,N)=N/k。 
我 们 已 经 知道 ， 对 任意 及 有 |( 加 | 有 hI， 因此 当然 就 有 
(e')= le = /scace Ny 


(g*) (gs)) 
设 d = gcd(k,N) ， 并 设 s,t 是 满足 4d = sk+tN 的 整数 ， 则 
g =g*V (8 .(g*) =(8") (0) =(8 .e= (gt) 
所 以 g” e(g*)， 另 一 方面 g* =(g”)*“。 因 为 41k, 所 以 g* e(g“), 因此 子 群 (ge) 和 (8g?) 
对 乘法 和 逆 都 是 封闭 的 。 对 任意 整数 4 











给 定 整数 大 ， 我 们 来 证 明 


(gs (82) 
且 
(gs 人 (8 
但 (g“) 刚 好 是 g 的 所 有 整数 方 赛 的 集合 ， 对 g“ 也 一 样 。 因 此 ， 有 


ts) 
(te 人) 


因此 ，G = (8g) 的 所 有 循环 子 群 就 是 那些 形 如 (g”) 的 子 群 ， 其 中 4d|N =|G|=|g|。 不 同 
的 因子 d 给 出 不 同 的 子 群 。 

设 万 是 G 的 任意 子 群 , 我 们 必须 证 明石 是 由 某 个 g* 生 成 的 。 令 为 满足 g* se 万 的 最 小 
正 整 数 ， 我 们 称 (g*) = 鼠 。 对 任意 的 g” < 五 ， 可 以 将 闫 表 为 如 下 形式 ; 


反之 亦 然 ， 所 以 有 
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m=gqg:k+r 0O<r<k 
因为 如 是 一 个 子 群 ， 所 以 
g’=g8" "=g"/g') eH 
又 因为 是 满足 g* e 已 的 最 小 正 整数 ， 且 0<r <k， 则 必 有 r=0。 因 此 m 是 的 倍数 ，g* 生 
成 HH。 
另 一 特殊 情形 ， 注 意 到 (g*)=(g) 当 且 仅 当 gcd(k,N) =1 。 我 们 只 需要 考虑 0< 上 < N ， 
否则 就 出 现 重 复 了 。(g) 的 不 同 生成 元 是 那些 满足 0<k<N ， 且 gcd(k, 和 N) =1 的 元 素 g*， 这 
样 的 元 素 当 然 有 wo(N) 个 。 











同样 ， 因 为 
加 图 (ea = ls gcd(k,N) = gs)| 
所 以 就 不 难 计算 (g) 中 给 定 阶 元 素 的 个 数 了 。 . 
e@ 有 限 循环 群 的 同 态 像 仍 是 有 限 循 环 群 . 
证 明 这 只 需要 验证 生成 元 的 像 是 像 的 生成 元 即 可 。 全 
e@ 阶 为 N 有 限 循 环 群 同 构 于 Z/N 。 特 别 的 ， 对 有 限 循环 群 G 的 任意 生成 元 g ， 了 映射 
f:n>g” 


定义 了 同 构 映 射 f:Z/N 一 G。 

证 明 这 正好 是 上 述 某 些 性 质 的 解释 。 全 

这 里 有 一 个 可 能 造成 干扰 的 问题 ， 就 是 要 证 明 上 述 定义 的 映射 /是 定义 明确 的 。 也 就 是 
说 ， 有 某 种 公式 表面 上 看 似 描 述 了 一 个 映射 ， 但 都 存在 着 隐藏 缺陷 。 我 们 必须 证 明 如 果 
m=nmodNN, 则 f(m)=f(n) 。( 这 与 内 射 性 无 关 ) 这 个 结论 似乎 是 显然 的 , 因为 我 们 已 经 (在 
循环 子 群 的 讨论 中 ) 证 明 g”= g” 当 且 仪 当 m =nmodN。 

强调 一 点 ， 我 们 将 循环 群 G 中 的 群 运算 记 为 * 而 不 是 加 法 或 乘法 。 这 样 关 键 在 于 证 明 同 
态 性 质 f(m+n)= f(m)* f(n)。 实 际 上 

fm+m)=/((m+m%N)= ge" =g""” 

因为 已 经 证 明 g: = g/ 当 且 仅 当 i= jmod N 。 上 式 也 就 等 于 f(g”)*f(g”)。 

为 证 明 f 是 单 射 ， 假 设 f(m)=f(n)，m,n 为 整数 ， 则 g"=g”。 这 也 就 意味 着 
m=nmodN， 即 m-mod-N=n-mod-N。 所 以 了 是 单 射 。 

满 射 容易 证 明 ， 给 定 g”e (g)，_f(n)=g” ， 因 此 f 是 双 射 且 同 态 ， 所 以 人 是 同 构 。 
习题 

22.2.01 给 出 Z/8 中 阶 为 4 的 所 有 元 素 ， 以 及 Z/72 所 有 阶 为 6 的 元 素 。 

22.2.02 给 出 Z/13 中 阶 为 4 的 所 有 元 素 。 

22.2.03 证 明 Z/100 中 由 3，97 生成 的 子 群 (3) 和 (97) 是 同一 个 子 群 。 

22.2.04 假设 G=(g) 是 一 个 阶 为 30 的 循环 群 ,计算 元 素 8*,g ,gr ,g“,g”,g”“,g” 的 阶 。 

22.2.05 假设 G 是 一 个 有 限 循环 群 ， 且 共有 2 个 子 群 ， 它 本 身 和 平凡 子 群 e} 。 那 么 G 的 
阶 如 何 确定 ? 


22.2.06 假设 G 是 一 个 有 限 循环 群 ， 且 共有 3 个 子 群 ， 它 本 身 、 平 凡 子 群 fe} 和 一 个 阶 为 
13 的 真子 群 ， 那 么 G 的 阶 是 多 少 ? 
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22.2.07 p 为 素数 , 假设 群 G 有 p 个 元 素 ,证明 G 是 循环 群 。( 提 示 : 取 8 大 e 并 考虑 (g)， 
利用 拉 格 朗 日 定理 )。 
22.2.08 设 m,n 互 素 , 设 太 ,KK 是 群 G 的 子 群 , 这 里 |H=m，|Kl=n。 证 明 HNK=t{e}。 


22.3 无限 循 环 群 


非 有 限 的 循环 群 是 存在 的 ， 尽 管 它 不 同 于 有 限 循环 群 ， 但 它 的 本 质 仍 是 简单 的 。 循 环 姑 
是 有 限 的 这 一 假设 产生 了 一 些 复杂 性 ， 但 仍 是 可 以 处 理 的 。 比 如 ， 加 法 群 Z 是 一 个 无 限 循环 
群 。 如 果 G 是 无 限 群 且 存在 一 个 geG， 使 (g)=G， 群 G 则 称 为 无 限 循环 群 。 这 样 的 元 素 g 
是 G 的 一 个 生成 元 ，G 称 为 是 由 g 生 成 的 。 

类 似 于 前 面 的 有 限 循环 群 ， 掌 握 下 述 关于 无 限 循环 群 的 结论 是 很 重要 的 。 

e 元 素 …g ,8 ,g ',g =e8 = 8g,8 ,8;,… 为 群 (g)=G 的 所 有 不 同 元 素 。 

。 对 于 整数 i,j ”，g' =g/ 当 上 且 仪 当 i=j。 

一 个 无 限 条 环 群 同 构 于 乙 。 特 别 的 ， 对 无 限 循环 群 的 任何 生成 元 g& ,映射 g" ~? 是 G 到 
Z 的 一 个 同 构 映射 。 因 此 ， 由 于 乙 有 两 个 生成 元 ， 所 以 无 限 循环 群 刚好 有 两 个 生成 元 ， 

下 述 结论 有 助 于 我 们 认识 无 限 循环 群 的 所 有 生成 元 及 所 有 子 群 。 

。 G 的 不 同 子 群 恰 为 了 群 (g”)，4a 为 非 负 整数 。 

。 任何 子 群 (8?) 是 无 限 循环 群 ， 除 了 平凡 子 群 如 = fg'}=(g")。 

。 每 个 子 群 (g“) 恰 有 两 个 生成 元 ，g" 和 8 。 

这 些 结论 的 某 些 方面 可 以 用 文字 表述 ， 无 限 循环 群 的 非 平 凡 子 群 仍 是 一 个 无 限 循环 群 


关于 不 同 阶 的 元 素 的 个 数 ， 我 们 有 这 样 的 结论 : 一 个 无 限 循环 群 的 所 有 元 素 都 是 无 限 阶 
的 ， 除 了 e=g”， 它 的 阶 为 1。 


习题 


22.3.01 对 Z 的 任何 非 平凡 子 群 {0} 的 吾 ， 证 明 互 中 最 小 的 正 整数 为 互 的 生成 元 ， 且 旦 
是 一 个 循环 群 。 


22.4 和 群 中 的 根 和 方 算 


在 一 个 阶 为 n 的 循环 群 G=(g) 中 ， 关 于 方程 x" =y 的 可 解 性 已 经 有 了 明确 的 结论 。 
设 G 是 一 个 以 g 为 生成 元 的 n 阶 循环 群 ， 给 定 整数 r+， 定义 函数 f:G 一 G，f(x)=x’。 
定理 ”映射 /是 G 到 自身 的 一 个 群 同 态 。 如 果 gcd(r,n)=1， 则 了 是 一 个 同 构 。 也 就 是 
说 ， 如 果 gcd(r,n)=1， 则 每 个 geG， 均 存在 一 个 r 次 根 并 且 仅 有 一 个 这 样 的 根 。 通 常 ， 
| ker f |= gcd(r,n) 
|imf |=n/ gca(r,n) 
如 果 一 个 元 素 y 有 一 个 r+ 次 根 ， 则 它 确 有 gcd(7,n) 个 + 次 根 ， 且 在 G 中 有 n/gcd(r,) 个 + 次 
方 窜 。 
证 明 由 








f(x)= 9) =xy = f(x): f(y) 
即 知 了 是 一 个 同 态 (其 中 推导 过 程 用 到 了 G 为 阿 贝尔 群 的 性 质 )。 
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我 们 可 以 用 G 与 Z/n 同 构 的 结论 ,这 样 就 可 以 用 有 关 Z/n 的 性 质 以 及 模 n 加 法 的 简单 作 
用 来 证 明 任意 有 限 循 环 群 的 性 质 。 因 此 ， 将 Z/n 加 法 的 加 法 记号 作 一 转换 ， 映 射 了 就 是 
f(x)=r:x 
我 们 已 经 知道 如 果 gcd(r,n) =1， 则 对 r+ 模 n 存在 一 个 乘法 逆 元 r"" 。 因 此 函数 g(x) = rl-x 
就 是 函数 了 的 逆 。 这 就 证 明了 了 既是 单 射 ， 又 是 满 射 ， 故 它 是 一 个 同 构 。 
对 任意 的 + ， 给 定 y， 我 们 来 考查 方程 
r:x= ymodn 
的 可 解 性 。 也 就 是 说 
n|(rx—y) 
或 者 对 某 个 整数 m ， 
mn=rx—y 
令 d = gcd(r,n) ， 这 样 必定 有 d|y ， 否 则 方程 无 解 。 另 一 方面 ， 假 设 d|y ， 对 某 个 整数 y'， 
y= dy' ， 我 们 需要 求解 | 
r:x=dy'modn 
除 以 4 公 因 子 ， 这 个 同 余 式 变 为 
x=y mod= 
消去 公 因子 后 ，r/d 和 /4d 是 互 素 的 。 所 以 存在 >/d modn/d 的 乘法 逆 元 (r/14d)”， 且 
x=(r/d)!.y'mod(n/d) 
也 就 是 说 满足 这 个 条 件 的 任意 整数 x 是 rx = ymodn 的 一 个 解 。 设 xo 是 这 样 一 个 解 ， 则 整数 
Xo0, Xo + +2 +3 +d-D 
是 解 且 模 n 是 不 相同 的 。 这 样 总 共有 4 个 不 同 的 模 n 解 。 

方程 rx = ymodn 有 一 个 解 的 充分 必要 条 件 gcd(r,n)|y 也 表明 , 恰好 存在 n/gcd(r,n) 个 
模 n 的 整数 y 满 足 这 个 条 件 。 这 也 就 是 说 恰好 有 n/gcd(r,n) 个 “7 次 虹 ”。 

f 的 核 是 那些 满足 rx=0modn 的 x 的 集合 ， 去 掉 公 因子 d=gcd(r,n) ， 即 得 
(r/qd)x=0modn/d， 即 (n/q)|l(r/qd)x。 因 为 r/4d 和 n/d 没有 公 因 子 ， 则 由 惟一 分 解 定理 ， 
n/d|x。 因 此 ， 模 n 有 a 个 不 同 的 解 x， 即 ker f 有 4a 个 不 同 的 元 素 。 定 理 证 毕 。 全 

在 前 面 的 章节 中 我 们 已 经 讨论 过 ， 若 p 是 模 4 同 余 3 的 素数 ， 则 容易 得 到 ( 模 p 平方 的 ) 
平方 根 ， 有 一 个 公式 

5b 的 平方 根 =b? mod 
显然 ， 这 个 公式 给 出 了 模 p 的 一 个 平方 根 ， 仅 当 5 是 模 p 的 平方 。 其 他 情况 则 得 到 一 些 无 用 
的 结果 。 下 面 这 个 定理 就 是 这 个 结构 的 抽象 。 
定理 ” 设 G 是 一 个 阶 为 NN 的 阿 贝 尔 群 ，n 是 一 个 与 N 互 素 的 整数 令 r 是 n 模 NN 的 乘法 
道 元 ， 对 任何 xeG ，G 中 恰 有 一 个 x 的 n 次 根 ， 且 它 可 由 下 式 给 出 : 
gx = 
备注 通常 ， 在 没有 前 提 保 证 这 样 一 个 结论 存在 之 前 ， 使 用 记号 3/x 是 不 可 取 的 。 
证 明 ”因为 > 是 2 模 的 乘法 逆 元 ， 所 以 我 们 对 某 个 整数 4 有 
r:n=1l+£N 
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则 
(x')” =x” = XIHHEN 一 x 
由 拉 格 朗 日 定理 的 推论 , 任何 元 素 x 的 阶 是 群 的 阶 N 的 一 个 因子 , 故 x”=e 。 则 进一步 得 到 ; 
(xz = 一 HAN 二 xy)t -yx.ee=xe=x 

这 就 证 明了 x 的 n 次 根 是 存在 的 ， 且 由 指定 的 公式 给 出 。 

为 了 证 明 惟一 性 ， 我 们 假设 y 和 z 都 是 x 的 n 次 根 则 有 

(y/2) =y"/2z"=x/x=e 

在 这 里 ， 我 们 用 到 了 群 的 交换 性 〈 阿 贝尔 性 质 ): 如 果 不 具 备 交 换 性 ， 则 通常 (xy)* = x*yt 是 
不 成 立 的 。 故 y/z 的 阶 是 4 的 一 个 因子 。 由 拉 格 朗 日 定理 ， 这 个 阶 也 应 当 是 N 的 一 个 因子 ， 
故 y/z 的 阶 是 n 和 NN 的 公 因 子 。 但 gcd(n, 和 N)=1, 所 以 这 个 阶 只 能 是 1， 即 y/z=e, 由 此 y=z。 
至 此 定理 得 证 。 全 

现在 我 们 可 以 用 公式 来 表示 循环 群 上 nn 次 根 的 抽象 欧 拉 准则 。 这 也 是 对 古典 数论 中 具体 
情况 的 抽象 。 

定理 设 G 是 一 个 阶 为 N 的 循环 群 , n 为 整数 且 n|N , 令 m=N/n ,一 个 给 定 元 素 geG 
在 G 中 有 一 个 mn 次 方 容 〈 即 存在 一 个 heG， 使 加 =g ) 当 且 仅 当 

g”"”=e 
证 明 设 G=(x)， 如 果 g 是 元 素 入 =x 的 n 次 方 昭 , 则 g = (xz ， 且 
g”" =((x)")" =(x)"™ =(x)" =e 

这 是 因为 (由 拉 格 朗 日 定理 ) 任何 元 素 的 N 次 方 宕 都 为 e。 

另 一 方面 ， 假 设 g”=e ， 则 对 某 个 指数 ，g = 六 ， 

e=g" =(x)" =x" 

因为 x 的 阶 是 N， 所 以 e=x 名 成 立 当 目 仅 当 入 |lm。 又 因为 m=N/n， 所 以 得 到 nn|《 (分 解 
惟一 )， 即 





g = xt = x(n) 二 (x ")" 


这 表明 g 是 一 个 z 次 方 寡 。 定 理 得 证 。 2 
习题 

22.4.01 设 六 是 一 个 模 4 同 余 3 的 素数 , 并 设 a 是 忆 /p 中 的 一 个 平方 , 证 明 as 是 4 的 
一 个 平方 根 。 

22.4.02 设 p 是 一 个 模 9 同 余 7 的 素数 , 如 果 a 是 Z/p 中 的 一 个 立方 , 证 明 aw+29 是 a 的 
一 个 立方 根 。 


22.4.03 设 p 是 一 个 模 9 同 余 4 的 素数 , 并 设 a 是 Z/p 中 的 一 个 立方 , 证 明 alz*5? 是 a 的 
一 个 立方 根 。 


22.5 ”平方根 算法 


设 G 是 一 个 阶 为 六 的 循环 群 ， 我 们 考虑 2| N 的 情形 ， 并 考查 一 个 求 平方 根 的 一 般 算法 。 
首先 ， 我们 必须 找 出 G 中 的 非 平方 元 素 g ， 这 是 该 算法 的 概率 部 分 。 随 机 选取 一 个 元 素 
8osG， 计 算 g81 (用 快速 指数 算法 )。 如 果 gy ze， 则 取 g=go;， 如 果 gN =e， 则 go 
就 是 一 个 平方 。 再 随机 选取 一 个 不 同 的 gj seG， 重 复 上 述 计算 步骤 ， 直 到 找到 一 个 非 平方 元 
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素 g 为 止 。 

备注 ”我 们 正在 利用 偶数 阶 循环 群 上 平方 的 抽象 欧 拉 准则 。 

备注 注意 每 次 随机 选取 的 g, eG ， 均 有 50% 的 机 会 可 能 是 一 个 非 平方 元 素 。 由 前 面 的 
讨论 ， 我 们 知道 由 x 生成 的 侦 数 阶 循环 群 G = (x) 的 不 重复 元 素 为 : 

x Oxl, xl, xN-! 

并 且 这 些 元 素 中 ， 只 有 那些 指数 为 偶数 ， 即 六 ，212 的 元 素 才 是 平方 。 因此， 共有 NN /2 个 元 
素 x ,x?,……,x ,x 站 是 平方 而 NN/2 个 元 素 x ,x xx 3,xx- 为 非 平方 。 

设 2’ 是 能 够 整除 NN 的 2 的 最 大 方 宗 ， 那 么 就 有 

N=2°.m | 

其 中 性 为 奇数 。 设 瓦 是 G 的 一 个 包含 2 次 方 窜 的 子 群 。 由 循环 群 上 抽象 的 欧 拉 定理 ，he G 
在 及 中 当 且 仅 当 h”=1。 也 就 是 说 五 的 阶 为 奇数 m ， 因 此 每 个 he 三 就 有 惟一 的 平方 根 ， 由 





下 式 给 出 
Yh = PCnrD12 
给 定 G 中 的 一 个 平方 ? 以 及 一 个 非 平方 g， 如 果 对 某 个 偶数 e 和 he 五 ， 将 y 表 示 为 
y=g "hh 
则 
Vy 一 ge .hd)/2 


我 们 需要 的 就 是 求 指数 e 的 一 个 简便 算法 。( 有 时 我 们 得 到 的 e 是 二 进 制 形式 的 ， 如 同 在 快速 
指数 算法 中 的 那样 )。 

疡 为 素数 ， 则 计算 模 疡 平方 2 的 平方 根 的 步骤 如 下 : 

e 将 p--1 分 解 为 p-1=2.m 的 形式 ，m 为 奇数 ; 

e 找到 一 个 模 p 的 非 平方 元 素 g ; 

e 今 B=b”"modp，G=g”modp， 初 始 值 E=0， 

e。 对 i=2,…s ， 如 果 (B.G5)2 zlmodp ， 就 用 E+2 站 代替 EE， 否 则 瑟 保持 不 变 ; 

® 令 F=(p-l)-E; 

. 则 Vb =(b. g <) ‘gf? modp 。 

例 计算 Vilmod1013。 令 b=11,p=1013， 首先 找 出 一 个 模 1013 的 非 平方 元 素 g， 一 般 
用 猜测 加 欧 拉 准则 验证 的 方法 ， 猜测 2 为 非 平方 元 素 ， 计 算 

2403 .02 = -1mod1013 
因此 g=2 是 一 个 模 1013 的 非 平方 数 。 从 1013 -1 中 提取 出 2 的 方 寨 : 
1013 -1=22.235 
所 以 令 s=2,m=253， 计 算 
B=b"” =11”3%1013=1012= -lmod1013 
G=g” =2”3%1013=45mod1013 
令 E=0， 指 数 i 的 范围 是 i=2,…,s ， 这 里 只 有 一 个 指数 i = 2 : 
(B.GE) =(D2 = =(CDIztmod1013 
所 以 用 E+2 站 代替 EE， 
E+2" =E+2 =E+2=E+2=0+2=2 

此 时 EE2， 然 后 代入 F=(p-lD)-E=1012-2=1010 
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V1l = (6. ge) "D2 8 
一 (1L1.22)05340712 .21010/2 
= 44127 .2505 
=32mod1013 
最 后 ， 我 们 可 以 验证 
322 =1024 =1024 -1013=11mod1013 
所 以 就 找到 了 一 个 11 模 1013 的 平方 根 。 
例 计算 V2mod48049 。 令 5 = 2,p=48049 ， 首 先 找 出 一 个 模 48049 的 非 平方 元 素 g， 
一 般 用 猜测 加 欧 拉 准则 验证 的 方法 : 这 里 2,3,5,7,11,13 均 是 模 48049 的 平方 ，17 是 最 小 的 非 
平方 数 : 
17030%4%D/2 ~ _1mod 48049 
所 以 g= 17 是 模 48049 的 非 平方 ， 从 48049 -1 中 提取 2 的 方 究 : 
48049 -1=24.3003 
敬 令 s=4,m=3003， 计 算 
B=0b” =203%48049 = 23300mod48049 


G= 8g” =17300%48049 =12891mod 48049 
令 E=0， 指 数 i 的 范围 是 i = 2…,s， 这 里 则 为 7= 2,3,4 


B2 =(23300)* = 48048z1mod 48049 


所 以 用 五 +2 王 代替 已 ， 


E+2 I=E+27 -E+2=E+2=0+2=2 
对 i= 3: 
(8.G2)2 =(23300.12891°)* =1mod48049 
( 故 在 这 一 步 E 保 持 不 变 )， 最 后 一 步 i=4: 
(B.G2)2 ”= (23300.128912)2 一 
= (23300.128912)! =1mod48049 
(所 以 在 这 一 步 五 保持 不 变 )， 最 后 的 瓦 仍 为 妃 =2 。 令 
F=(p-1)-E=48049-1-2=48046 
V2 二 (b. gE) "2 ‘gr? 
=(2 .172)G003+D712 ,1748046/12 
= $781502 .1724023 
=310mod48049 
我 们 可 以 验证 
310? = 96100 = 2mod 48049 
因此 310 的 确 是 2 模 48049 的 一 个 平方 根 。 
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习题 
22.5.01 利用 概率 算法 求 2 模 17 的 一 个 平方 根 。 


22.5.02 利用 概率 算法 求 211 模 433 的 一 个 平方 根 。 
22.5.03 利用 概率 算法 求 331 模 449 的 一 个 平方 根 。 
22.5.04 利用 概率 算法 求 123 模 521 的 一 个 平方 根 。 


22.5.05 利用 概率 算法 求 67 模 569 的 一 个 平方 根 。 
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终于 我 们 可 以 来 证 明 概 率 素性 检验 是 不 是 真正 能 够 起 作用 。 首 先 我 们 证 明 卡 米 克 尔 数 的 
一 些 相对 直观 的 性 质 ， 这 些 还 不 难 理解 。 男 外 一 些 证 明 则 比较 难 ， 在 不 影响 后 续 内 容 理 解 的 
情况 下 ， 我 们 略 去 了 证 明 过 程 。 另 一 方面 ， 这 些 证 明 充 分 运用 了 抽象 代数 的 理论 。 


23.1 1 函数 》 


理解 卡 米 克 尔 数 即 意味 着 要 理解 费 马 伪 素 数 检验 是 如 何 失败 的 。 为 掌握 这 种 机 制 ， 我 们 
继续 利用 欧 拉 定 理 和 费 马 小 定理 的 内 容 。 

对 于 一 个 正 整 数 x， 定 义 卡 米 克 尔 数 的 4 函数 如 下 : 

4(n) = 乘法 群 Z/n” 的 指数 

这 个 用 法 和 任意 群 G 的 指数 的 概念 是 完全 一 致 的 ， 即 4(n) 是 满足 对 每 个 xs ZZ/n” ,使 得 
x4") =1modn 的 最 小 正 整数 。 

在 循环 子 群 的 讨论 中 我 们 已 经 知道 ， 如 果 x* =1modn ， 则 元 素 x 的 阶 |x| 整 除 上 为 了 
回想 一 下 这 个 重要 结论 的 证 明 过 程 ， 我 们 将 表示 为 

k=g|x|+r ,0<r <|x| 
则 有 . 
1=xt=x? tr = x) .x’ =(1)? .x =x" modn 

因为 |x| 是 满足 xl = 1modz 的 最 小 正 整 数 ， 则 必 有 > = 0 ， 所 以 | x| 整 除 n。 

由 拉 格 朗 日 定理 我 们 还 知道 ， 一 个 有 限 群 的 指数 整除 群 的 阶 ， 因 此 

4(n)= 乘 法 群 Z/r* 的 指数 | p(n) 

现在 我 们 就 可 以 完全 决定 4(n) 了 , 尽管 它 不 是 弱 乘 性 的 , 但 它 的 作用 还 是 能 够 被 控制 的 。 

定理 

e 若 m 与 n 互 素 ， 则 卡 米 克 尔 的 4 函数 满足 XA(m:n)= lem(4(m),4(n))。 

。 若 p 为 奇 素数 ， 则 4(p*)=g(p*)=(p-1)p“'，。 因 为 存在 一 个 模 p* 的 本 原 根 ， 所 以 

存在 一 个 元 素 ， 它 的 阶 为 A(p*)。 
e 对 于 2 的 方 军 : 4(2)=1，4(4)=2，4(2*)=2“?Y， 这 里 e>2。Z/2” 中 存在 一 个 阶 





为 4(2°) 的 元 素 。 
证 明 若 m 与 n 互 素 ， 则 由 孙子 定理 ， 同 余 方程 组 
xf =1modm 
x* =1lmodn 


就 等 价 于 单个 同 余 式 x* =1mod mn 。 因 此 ， 如 果 有 x* =1mod mn ， 则 当然 有 x* =1modm 和 
x =1modn。 故 由 陈述 定理 前 的 讨论 ，4(m) 和 X(n) 都 整除 4(mn) ,所 以 XCmn) 是 4(m) 和 
4(n) 的 公 倍数 。 另 一 方面 ， 设 M 是 4A(m) 和 4(n) 的 任意 公 倍 数 ， 记 M = m'4(m)， 
M =n'4(n)，m' 和 nn 为 整数 ， 则 我 们 有 
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M 


xl = (x )™ =1 


™ -1modm 
x = (xc = =1modn 
因此 由 和 孙子 定理 (m 与 4n 互 素 )，x”=1modmn。 这 也 就 是 说 ， 如 果 M 能 被 模 m 的 所 有 阶 和 
模 n 的 所 有 阶 整除 ， 那 么 M 就 能 被 模 mn 的 所 有 阶 整除 。 这 就 证 明了 
A(m:n)= lcm(A(m), 4(n)) 

对 于 pp 为 奇 素数 的 情况 , 我 们 已 知 存在 一 个 模 p* 的 本 原 根 g。 因 此 在 Z/p”* 中 存在 一 个 
阶 为 (p 一 Dp =g(p*) 的 元 素 。 故 pm( “) 整除 A(p*)。 由 拉 格 朗 日 定理 ，Z/p” 中 的 任何 元 
素 的 阶 都 整除 Z/ p” 的 阶 g(p*)。 再 一 次 利用 陈述 定理 前 的 讨论 ， 即 可 得 4(p*)=g(p*)。 

现在 来 考虑 2 的 方 罕 的 情况 。 群 Z/2* 只 有 一 个 元 素 ， 所 以 它 的 阶 必然 是 1。Z/4* 的 阶 
为 2， 自 然 有 2 阶 的 元 素 。 

下 面 我 们 来 证 明 对 ez>3 ， 不 存在 模 2* 的 本 原 根 。 我 们 注意 到 对 任意 整数 x， 

(1+2x) =1+4x( +x)=1lmod8 








更 进一步 ， 我 们 有 

(1 +8x)* =1mod2314 
因此 ， 对 于 ez>3 有 

(+2x)* =1mod2° 
由 此 ， 任 何 元素 实 际 的 阶 必 为 2 的 因子 。 另 一 方面 ， 对 于 k 之 2 以 及 奇 整 数 x， 

(1+2*x) =1+2447+22x2 =1+2T x+ 2 lx2) =1+2*ly 
>» 

因为 2 ，24x? 为 偶数 ， 所 以 y=xmod2。 因 此 由 归纳 法 ， 

(+4x)” =1+22y 
并 且 y=xmod2。 特别 地 ,前 面 的 模 数 2° 不 为 1， 除非 2+1 寥 e 。 比 如 ， 元素 1+4 在 Z/2” 中 
的 阶 为 2 所 。 因 此 ， 对 ez3 ，4(22) = 2 和 。 这 就 完成 了 Mo 的 计算 。 全 


23.2 ” 卡 米 克 尔 数 


尽管 存在 无 限 多 个 卡 米 克 尔 数 (Carmichael numbers)， 使 人 们 难以 应 付 ， 但 也 存在 一 些 
明显 的 限制 ， 表 明了 什么 的 数 才 是 卡 米 克 尔 数 。 这 些 限 制 在 证 明 索 洛 维 -斯 特 拉 森 和 米 勒 - 罗 
宾 检 验 为 什么 能 够 成 功 检验 合 数 性 方面 发 挥 了 很 明显 的 作用 。 

定理 一 个 正 整 数 是 卡 米 克 尔 数 ， 当 且 仅 当 4(n)|n-1。 特别 地 ， 一 个 卡 米 克 尔 数 必定 是 
奇数 、 无 平方 且 至 少 被 三 个 不 同 的 素数 整除 。 

证 明 假设 n 是 卡 米 克 尔 数 ， 即 假设 对 每 个 与 n 互 素 的 整数 b>， 有 

b”!=1modn 
由 定义 ， 对 每 个 与 n 互 素 的 整数 b， 卡 米 克 尔 函 数 A(n) 是 满足 5 =1modn 的 最 小 正 整数 。 
我 们 已 经 知道 存在 一 个 阶 为 4(n) 的 元 素 ， 设 4 就 是 这 个 元 素 ， 记 nn -1= gq:X(n)=r， 这 里 
0<e<4(n) 。 由 此 则 有 
1=b"! = btr = (bp)4 .pb modn 
因为 4(n) 是 满足 5*%” =1modn 的 最 小 正 整 数 ， 则 必 有 r=0， 所 以 Am)|n-1。 

从 4(n) 的 一 般 公 式 ， 我 们 注意 到 ， 如 果 n>2， 则 2|4(n) 。 如 果 nn 有 任何 不 同 于 2 的 素 

因子 p， 则 p-1|4(n)。 另 一 方面 ， 如 果 n 是 大 于 2 的 方案 ， 仍 有 214(09) 。 
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因此 ， 如 果 nn 是 卡 米 克 尔 数 ， 那 么 因为 2|4(n) 且 4(W)|n-1， 则 2|n-1， 所 以 n 为 奇数 。 

如 果 对 某 个 奇 素数 p ，p*|n， 这 里 e>1， 则 p|4(n)。 因 为 XW)|n-1， 则 pln-1。 但 
当 pln 时 ， 这 不 可 能 成 立 。 因 此 是 无 平方 的 。 

如 果 nn 正好 是 两 个 不 同 的 奇 素数 p 和 9g 的 乘积 ， 即 n= pg ， 则 有 

A(n)=Ap'q)=Icm(A(p),4(q)) =Icm(p—1,9 -1) 
而 A(n)|n-1= pg-1， 所 以 得 到 p-1| pg 一 1 和 g 一 1| pq 一 1。 我 们 将 p 一 1| pg 一 1 稍 做 一 点 变 
形 ， 即 有 
P-1lp-l=(p-D+9-1 

因此 ，p 一 11g 一 1， 同 理 可 得 gq-1| p -1。 但 是 因为 p 和 gq 为 不 同 的 素数 ， 故 这 不 可 能 。 因 此 
n 必然 至 少 被 三 个 不 同 的 素数 整除 。 和 


23.3 ” 欧 拉 证 据 


对 照 卡 米 殉 尔 数 没有 合 数 性 的 费 马 证 据 的 事实 ， 我 们 现在 来 证 明 非 素数 的 合 数 性 的 欧 拉 
证 据 是 存在 的 。 我 们 还 会 证 明 对 合 数 存在 许多 欧 拉 证 据 , 在 1<b<n 之 间 至 少 有 一 半 的 数 b 是 
n 的 合 数 性 的 欧 拉 证 据 。 

命题 “的 一 个 素性 的 欧 拉 证 据 也 是 的 素性 的 一 个 费 马 证 据 , 而 的 合 数 性 的 一 个 费 马 
证 据 也 是 一 个 合 数 性 的 欧 拉 证 据 。 换 句 话说 ， 一 个 错误 的 素性 欧 拉 证 据 是 一 个 错误 的 素性 费 
马 证 据 。 特 别 地 ， 如 果 存 在 一 个 合 数 n， 它 没有 其 合 数 性 的 欧 拉 证 据 ， 则 nn 必 为 一 个 卡 米 克 
尔 数 。 

证 明 我 们 在 命题 中 的 断言 也 就 是 说 ， 如 果 对 与 n 互 素 的 整数 b， 有 


be D2 -(2| modn 
n> 


b"!-1lmodn 


实际 上 对 第 一 个 等 式 两 边 平方 ， 即 得 


2 
bp"! = modn 
nj 


因为 6 与 n 互 素 ， 二 次 符号 ( 勒 让 德 符 号 ) 的 值 为 +1， 则 其 平方 必 为 1。 因 此 欧 拉 证 据 b 当 
然 是 一 个 费 马 证 据 。 
如 果 刀 是 一 个 合 数 ， 且 使 对 所 有 与 互 素 的 整数 b>， 有 


bed? -人 modn 
2 


那么 则 有 


n 
对 此 数 b 仍 有 b”! =1mod n， 且 nn 是 卡 米 克 尔 数 。 和 . 
备注 ”因此 我 们 可 以 说 { 欧 拉 伪 素数 } c { 费 马 伪 素数 }, 或 者 更 准确 一 点 ，{ 欧 拉 伪 素数 基 
5b}C { 费 马 伪 素 数 基 b }。 
现在 我 们 来 证 明 合 数 性 的 欧 拉 证 据 的 存在 性 。 
定理 ( 欧 拉 证 据 的 存在 性 ) ”假设 n 是 一 个 正 的 合 数 ， 则 至 少 存在 一 个 整数 bp，1<b<n， 
且 ged(b,n)=1， 使 得 


290 锚 23 个 


sz [2] 
ny 
即 存 在 -个 欧 拉 证 据 。 

证 明 如 果 n 不 是 卡 米 克 尔 数 ， 则 已 经 存在 一 个 的 合 数 性 的 费 马 证 据 b， 那么 5 当然 也 
是 欧 拉 证 据 。 

所 以 考 上 处 一 个 卡 米 克 尔 数 nx， 由 前 面 的 结论 我 们 知道 ，n 是 奇数 且 是 无 平方 的 ， 所 以 记 
作 n= pm ，p 为 素数 日 p 不 整除 m。 令 有 是 模 p 的 一 个 非 二 次 剩余 ， 且 《由 孙子 定理 求 
出 5， 使 b= 4b mod p 且 5=1modm。 则 一 方面 ， 利 用 雅 可 比 符号 的 定义 


-由 四 四 由 -oe 
疝 - 提 站 


0-D72 = 1orD72 


可 得 


男 一 方面 ， 


=lmodm 


仍 使 用 模 m 的 运算 ， 还 有 
六 0)7 "| 三] modm 
Pm J, 


因此 当然 有 
bp-D/2 -|[ 疡 ] mod pm 
pm )» 


因此 ， 这 个 5 是 n= pm 合 数 性 的 一 个 欧 拉 证 据 。 全 

利用 拉 格 朗 日 定理 ， 我 们 可 以 证 明 存 在 “许多 ” 欧 拉 证 据 。 

推论 ”对 于 合 数 n， 在 1<b<n 中 至 少 有 一 半 的 数 b 是 n 的 合 数 性 的 欧 拉 证 据 。 

证 明 我 们 的 主要 思想 就 是 证 明 错 误 证 据 〈 但 与 互 素 ) 的 集合 LIL 是 Z/n* 的 一 个 子 群 。 
因为 由 定理 得 知 至 少 存在 一 个 证 据 ， 因 此 错误 证 据 的 子 群 是 一 个 真子 群 。 由 拉 格 朗 日 定理 ， 
工 的 阶 | 工 | 必定 是 Z/w” 的 阶 g(n) 的 一 个 真 因 子 。 因 此 


1 1 
1 长 2(CDS 了 (2 一 


现在 我 们 来 证 明 n 的 素性 证 据 的 集合 工 是 Z/r* 的 一 个 子 群 。 假 设 x,y 是 n 的 素性 证 据 ， 
即 








nn x 
x( -| modn 
n /2 
py -也 modn 
nj 


(x) ?2 = xD/2., p12 = 目 人 modn 
2 2 
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而 我 们 已 经 知道 | 人 -(2 . 
n/, nj)y ny 


因此 ， 
oo [2 -[ 了 | modn 
nj2 \R/2 下 于 722 


这 也 就 是 说 x 也 是 n 的 素性 的 一 个 证 据 。 
下面， 我 们 来 验证 Z/ 才 中 乘法 单位 元 1 属于 工 ， 这 很 容易 得 到 : 


oa- modn 
n> 


再 下 来 我 们 验证 证 据 的 集合 工 对 取 模 n 的 乘法 逆 是 封闭 的 。 设 xeL，x” 表示 模 n 的 乘 


法 逆 元 。 首 先 ， 我 们 有 
-三 [xx -( 引 - 
ns n n nj), 





因此 


然后 再 利用 指数 的 性 质 : 
1 


-1 _ 
Cx) D2 = (x D2)! -人 -二 modn 
nj n 2 


也 就 是 说 ， 如 果 x 是 一 个 证 据 ， 则 x 也 是 一 个 证 据 。 
因此 ， 工 对 乘法 和 逆 封 闭 且 包含 单位 元 ， 所 以 是 /xr 的 一 个 子 群 。 因 为 我 们 已 经 证 明 
对 合 数 n， 至 少 存在 一 个 b， 它 不 是 的 素性 的 一 个 证 据 。 那 么 对 于 合 数 n， 错误 证 据 的 子 群 
是 一 个 真子 群 。 因 此 ， 如 同 证 明 开 始 时 所 指出 的 那样 ， 由 拉 格 朗 日 定理 ， 我 们 断定 至 少 有 一 
半 的 整数 b>，1<5<n， 将 检测 合 数 n 的 合 数 性 。 电 
由 此 ， 我 们 确信 和 索 洛 维 -斯 特 拉 森 素性 检验 能 够 发 挥 作用 。 


23.4 ” 强 证 据 


现在 我 们 来 证 明 强 证 据 的 存在 性 ， 以 及 实际 上 对 奇 合 数 上 至少 有 3/4 的 整数 5 是 nn 的 合 
数 性 的 证 据 ， 其 中 1<4b<n。 因 此 ， 米 勒 - 罗 宾 检 验 可 以 发 挥 作用 。 用 这 种 方法 ， 我 们 可 以 拿 
强 伪 素 数 和 欧 拉 伪 素数 作 比 较 。 

在 本 节 的 讨论 中 ，n 为 一 固定 的 奇 整数 ， 且 令 n-1=2 5.m，m 为 奇数 。 因 为 nn 为 奇数 ， 
故 s 之 1。 

我 们 来 回顾 -下 用 单个 辅助 整数 b 的 米 勒 - 罗 宾 检 验方 法 。 首 先 ， 选 取 一 个 “随机 ”辅助 
数 bp，1<b<n， 并 计算 c=b”。 如 果 c=1modn， 则 停止 ，b 就 是 nn 的 素性 的 一 个 强 证 据 。 
如 果 c -1modn， 则 计算 连续 的 平方 : 





2 .4 2、 ,8 2、2、2 ,2 8\2 257! 
CC =(c ) =((c ) ) a =(C ) oC 


如 果 对 任何 <s ， 我 们 得 到 c”= -1modn， 则 停止 : 5 就 是 的 索性 的 一 个 强 证 据 。 另 一 方 
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面 ， 如 果 对 某 个 k， 我 们 得 到 c* =1modn 但 c* "1#-1modn， 则 nn 为 确切 合 数 。 如 果 对 
0k 万 s ， 不 存在 cx =1， 则 nn 也 为 确切 合 数 。 
备注 ”如 果 对 0 上 三 s ， 不 存在 cx” =1， 则 5b”!z1modn ， 故 n 对 费 马 伪 素 数 基 5 检 验 失 
败 。 
如 果 使 用 大 个 辅助 数 b,5,,…,b， 并 且 每 一 个 都 是 n 的 素性 的 证 据 ， 则 我 们 设想 为 素数 


天 
的 “概率 "为 1-[ 3] . 


我 们 应 当 验 证 一 个 真正 的 素数 对 任何 基 8 是 一 个 强 伪 素 数 。 即 我 们 可 以 验证 ， 一 个 真正 
的 素数 将 通过 米 勒 - 罗 宾 检 验 。 

命题 ” 真 素数 是 强 伪 素数 ， 昌 通过 米 勒 - 罗 宾 检 验 。 即 设 p 是 大 于 2 的 素数 ， 且 
pp-1=25.m，m 为 奇数 。 令 b 是 不 被 p 整除 的 任何 整数 ，1 是 满足 (b")” = 1mod p 的 最 小 非 
负 整 数 ， 则 f=0 ， 或 者 (pb")2” = -lmodp 。 

证 明 因为 疡 是 素数 , Z/P 是 一 个 域 ， 且 由 代数 基本 定理 , 方程 x* -1=0 根 的 个 数 最 多 
等 于 它 的 次 数 。 因 此 ，+1-mod-p 是 Z /p 中 惟一 平方 为 1-mod-p 的 元 素 。 所 以 ， 如 果 
(6”")” 1mod p ， 则 惟一 的 可 能 就 是 (6")”= -lmodP 。 因 此 ， 真 素数 p 将 通过 每 一 个 这 种 
检验 。 他 

我 们 有 一 个 简单 的 结论 将 表明 , 米 勒 - 罗 宾 检 验 至 少 与 费 马 检验 是 有 区 别 的 。 这 个 事实 跟 
强 证 据 是 欧 拉 证 据 一 起 ， 也 是 如 下 结论 的 推论 : 欧 拉 证 据 是 费 马 证 据 。 但 这 个 命题 本 身 有 一 
个 更 简单 的 证 明 。 

命题 7 的 素性 的 一 个 强 证 据 也 是 一 个 费 马 证 据 。 

证 明 设 b 是 一 个 随机 选取 的 数 ，c =b”。 首 先 假设 c=1, 则 

bi=b"? =c? =1? =1modn 
所 以 5 是 一 个 费 马 证 据 。 否 则 ， 如 果 c? =-l1modn，t<s， 则 
| biob”"? =c2 =(e) = =1lmodn 
5b 仍 是 一 个 费 马 证 据 。 全 
在 证 明 强 证 据 是 欧 拉 证 据 之 前 ， 我 们 需要 一 些 记号 以 及 预先 的 计算 ， 对 正 整 数 和 NN 和 外， 
ordwk = 乘法 群 Z/N* 中 的 阶 

引 理 为 整数 ，p 为 奇 素数 ， 且 p 不 整除 k， 则 ord,.k/ord, = P 的 非 负 方 寒 。 

证 明 我们 利用 Z/ p” 为 循环 群 这 一 事实 ， 即 存在 一 个 本 原 根 g。 设 1 是 满足 g' = 上 的 
一 个 正 整数 ， 由 循环 群 和 循环 子 群 的 讨论 ， 有 

ord .k=9(p" )18cd( PCP 
ord ,k=9(p)/ gcd(l, p(p)) 
因为 p-1 和 pr 互 素 ， 则 
gcdll,9(p’) = ged(l,(p-D)p” ")= gcall,p-l). gedll,p”™) 
因此 ， 
9p(p’)/gcdll,9(p’)) _ (p-Dp’ .gcdll,p(p)) 


dk/ord, = 
NT pp/gcdbop) (pl)-gedl po(p') 
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2e-l 


~ gcdll,p”!) 
这 就 证 明了 引 理 。 有 2 
定理 7 的 素性 的 一 个 强 证 据 也 是 一 个 欧 拉 证 据 。 
证 明 ” 首先， 如果 是 素数 ， 则 它 将 通过 索 洛 维 -斯 特 拉 森 或 米 勒 - 罗 宾 检 验 。 
所 以 我 们 来 考虑 奇 合 数 n，, 设 b 是 一 个 随机 选取 的 整数 , 令 c=4b”, n 的 素 因 子 分 解 式 为 : 
n=pr'. pw 
令 b 是 nn 的 一 个 强 证 据 ， 且 c=b”。 则 45 是 n 的 一 个 强 证 据 的 假设 即 意味 着 : 
1) c=lmodn 
2) 对 某 个 1&t<s，c* = -lmodn 
因为 对 每 个 整除 n 的 素数 方 曙 pr ，c* = -lmod p* ， 所 以 ord ,c=2" 。 由 此 还 可 得 出 
ord ,b=2" x (奇数 ) 
(在 c=1 的 情况 下 ， 这 些 阶 为 奇数 ，2? 整除 他 们 。) 
由 引 理 得 ord ,b=2"" x( 奇 数 ) ， 因 为 惟一 可 能 改变 的 就 是 P 的 方 寒 。 
令 27 为 整除 p; -1 的 2 的 方 究 ， 则 对 所 有 i ,t+1<hk 。 设 gi 是 模 p 的 一 个 本 原 根 ， 记 
b= gi ，1|p; 一 1， 则 由 循环 子 群 的 讨论 得 


ord ,b= Pi 


i 





因此 ， 对 于 一 个 给 定 的 指标 i， 如 果 t+1<， 则 4b 就 是 一 个 模 p; 的 平方 。 只 有 对 t+1=， 
.5 不 是 模 p, 的 平方 。 
令 M 为 使 得 5b 是 模 p, 的 非 平 方 的 指标 i 的 个 数 ， 且 t+1= 和 ， 则 


四 -之 -|( 羡 | = (1D)” 
n)> \Pi), PN /> 
另 一 方面 ， 因 为 对 每 个 指标 i ，2 人 1 | p, -1， 我 们 记 p,; =1+2 人 x;， 这 里 x 为 奇数 ， 则 
pi =1+2:2 x +22"2x? =1mod2"? 
因此 ， 模 2'? 后 ， 所 有 中 指数 大 于 等 于 2 的 所 有 素数 备 正 好 为 1。 并 且 在 模 242 后 ， 
记 =1+241x( 奇 数 )=1+20 mod2"? 
因此 ，n 中 出 现 的 指数 为 1 的 素数 寡 为 1+ 2 模 25 提供 了 因子 。 由 此 mod2/? 得 


于 = PP 人 =(1+2") mod2"? 
M 
= "| ) FF" +(¥ pp” +($ p>” + =1+M .2 mod2"? 


这 样 ，n 模 2 就 依赖 于 和 是 奇数 还 是 偶数 : 
MM 是 奇数 :n=1+M 2" =1+2"m mod2" 
M 是 偶数 :n=1+ M2" =1mod2" 
因此 ， 在 M 是 奇数 的 情况 下 ， 整 除 z-1 的 2 的 方 昭 正好 是 2 路 ， 即 s=t1+1， 由 此 


i .5-1 3-] 
poD/2 pm” 02 





2 
=cC” =-lmodn 
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因为 对 M 是 订 数 b=-1= [上] 。 
nj 

当 M 是 偶数 时 ， 整 除 n-1 的 2 的 方 寨 至 少 为 2*2 ， 即 s>f+2 ， 因 而 有 

DrD/2 -Dr -co =(e2 2 =(D2 -2 =1modn 
我 们 得 到 60? =1= [上] ， 这 就 证 明了 定理 ， 即 "的 素性 的 强 评 据 也 是 欧 拉 证 据 。 . 
2 

定理 ”如 果 奇 数 是 合 数 ， 则 至 少 有 3/4 的 整数 5 是 的 合 数 性 的 强 ( 米 勒 - 罗 宾 ) 证据， 

这 里 1<b<n。 


证 明 设 大 是 满足 至 少 有 一 个 8 使 得 2 =-lmodn 的 最 大 非 负 整数 。 因 为 02 = -1， 
所 以 存在 这 样 的 大 。 但 需要 如 下 引 理 : 

引 理 n=1mod2*+!。 

证 明 由 有 2 =-imodn， 当 然 有 b?”=1modn 。 因 此 n|b*”-1， 进 而 由 费 马 观 察 ， 对 
任何 整除 的 素数 p 以 及 对 某 个 1<k+1， 或 者 p|82 -1， 或 者 p=1mod24*! 。 因 为 由 假设 
bp” =-1modn， 而 对 r <k，b* mod n 既 不 为 1 也 不 为 -1。 因此 不 可 能 有 p|b” -1， 对 某 个 
1<k+1。 故 任何 整除 的 素数 p 满足 p=1mod2*m ,那么 将 任意 多 个 这 样 的 素数 乘 起 来 构成 
n ， 仍 然 是 模 241 同 余 1， 即 p=1mod2*+!，。 人 

现在 我 们 回 到 定理 的 证 明 上 。 设 1=2*.m， 且 n-1=2.m， 这 里 mm 为 奇数 。 由 引 理 ， 
21|n-1。 定 义 G=Z/r 的 子 群 如 下 : 

H={g eG:g"! =1lmodn} 
1={g eG:g! =+tlmod pr?', 对 所 有 让 
J={geG:g' =+tlmodn} 二 { 强 说 谎 者 } 
K={geG:g! =1modn} 
不 难 验 证 这 四 个 子 群 有 如 下 包含 关系 :( 由 子 群 的 定义 也 容易 验证 它们 是 G 的 子 群 ) 
GOHOIIDOJOK 

引 理 ” 强 说 谎 者 (nn 的 素性 的 错误 证 据 ) 集合 包含 于 子 群 了 中 。 

证 明 首先 ， 如 果 b”=1modn ， 则 由 mj! 可 知 ， 必 有 5b'=1modn 。 另 一 方面 ， 如 果 
522 = -1modn 对 某 个 1<s 成立， 则 由 的 定义 :<k， 因 此 

b=b" =(b" =(1) modn 
所 以 任何 说 谎 者 都 在 中。 全 

接 下 来 ， 除 了 n=9 的 情况 比较 容易 不 予 讨论 外 ， 我 们 将 证 明 [G :J 三 4 。 因 为 强 说 谎 者 

都 包含 于 JJ， 这 将 证 明 nn 的 合 数 性 证 据 的 个 数 将 至 少 为 


CE 


令 f:G 一 G 由 映射 f(g)=g' 所 定义 ,因为 G 是 交换 的 ， 所 以 该 映射 是 一 个 群 后 态 。 

引 理 设 $={aeG:a=+lmod ps, 对 所 有 的 让 ，5S 的 每 个 元 素 是 G 中 某 个 元 素 的 2* 次 
方 袁 。 因 此 ，$ 的 每 个 元 素 是 G 中 某 个 元 素 的 1 次 方 寨 。 即 群 同 态 了:G >5 是 满 射 。 

证 明 设 x 为 一 整数 ， 使 得 x=bmod ps 或 者 x=b? mod ps ， 不 同 的 素数 p, 有 不 同 的 选 
择 ，46 则 是 上 述 的 特定 元 素 。 由 此 如 果 x=b>mod ps ， 则 有 xz =+lmod ps ; 如 果 
x=bmod pes, x = 一 1 mod p* 。 这 就 证 明了 引 理 的 第 一 个 论断 。 
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因为 m 为 奇数 ，+1lmod p* 都 是 自己 的 m 次 方 军 。 因此， 如 果 g”=h，heS ， 则 对 所 
有 指标 i， . 
g! = gg =h" =hmod pr 
这 就 证 明了 为 满 射 。 2 
我 们 还 希望 证 明天 在 工 中 的 指标 为 2* ,我 们 将 以 一 个 在 群 中 运用 更 加 普遍 的 一 个 引 理 的 
推论 形式 证 明 这 一 结论 。 
引 理 ” 设 义 ,7 为 有 限 群 ，h: 邓 -> 了 为 群 同 态 ，2Z,W 是 了 的 子 群 , 且 Z 二 所 ,并 假设 Z 包 
含 于 f 的 像 /(X) 中 ， 令 
h (2)={geG:h(g)eZ} 
hh (W)={geG:h(g)eWw) 
则 有 如 下 指标 公式 成 立 : [2Z :WW]=[h7(2Z):h(W)]。 
证 明令 和 了 是 群 同 态 关 : 工 一 了 的 核 ， 我 们 将 要 证 明 
1 VIZ 和 | (WY AV IW| 
这 样 我 们 就 得 出 引 理 的 结论 
[Zw]= L221 1 (0) 
[于 | I7I-IWI 11 WP) 
Z 的 原 像 请 (2Z) 是 zsZ 的 原 像 "1(z)= {xeE 针 :h(x) = 2z} 的 不 相交 的 并 集 。 如 果 能 够 证 明 
有 1(z) 的 元 素 个 数 等 于 |V|， 则 可 得 到 
HZ) 集合 三:((z) 的 基数 之 和 ，zeZ 二 2Z1.|P| 
这 是 因为 共有 |Z| 个 不 同 的 集合 17'(z)， 而 且 我 们 希望 每 个 这 样 的 集合 的 基数 为 | 六 |。 
因此 问题 就 简化 为 证 明 对 任 一 zeZ, 有 hh'(z) 的 元 素 个 数 等 于 |VY| 。 为 证 明 这 个 结论 ， 我 们 








=[ (2):h7™ (W)] 


bi:V > hl(z) 
这 样 只 需要 证 明 集 合 有 相同 的 元 素 个 数 ， 避 免 直接 计数 。 因 为 z 在 h 的 像 中 ， 我 们 至 少 可 以 
找到 一 个 x e XX， 使 hxo)=z， 那 么 可 以 尝试 将 映射 6 定义 为 。 b(v) =v.xo。。 首 先 我 们 必须 
验证 这 个 映射 是 六 到 有 1(z) 的 映射 ， 即 必须 验证 对 所 有 的 veV ，hb(v)) =z 。 实 际 上 ， 因 为 
对 veV，V 是 h 的 核 ， 显 然 有 
h(b(V)) = h(v- xo) = h(v). h(xo)=ey:z=2 

其 次 ， 我 们 需要 验证 是 一 个 单 射 ， 假 设 对 weF ， 有 av) = so) ， 我 们 来 验证 v =v'。 
由 映射 5 的 定义 ，v.xo =v.xo， 两 边 同时 右 乘 x7' ， 即 得 v=v ， 因 此 5 是 一 个 单 射 。 

最 后 ， 我 们 还 需要 验证 5 是 一 个 满 射 。 给 定 gqeh'(z)， 要 寻找 元 素 veV， 使 gq =b(v)。 
我 们 来 验证 q .xi! eV : 





h(q:xo ')=h(q)-h(xo')=2z:h(x0)" =2:2" =e, 
这 就 证 明了 5:V 一 471(z) 是 一 个 双 射 ， 也 就 证 明了 71(z) 的 元 素 个 数 等 于 | 六 | 。 因 此 ， 
引 理 得 证 明 。 . 
推论 [7:K]=[f7(S): /7 ({e)]=[S:{e}]=2” 
证 明 由 了 的 定义 ，f(g)=g!， 攻 = /fi({e})。 上 面 证 明 第 三 个 引 理 表明 ，J = /71(S)， 
再 由 刚刚 证 明 的 引 理 , [7-1(S): -1(fe})j=[5:{e}]。 因为 对 整除 4 的 入 个 不 同 的 素 因子 pi, 5 
包含 1 詹 种 选择 ， 所 以 18= 2”。 这 就 证 明了 推论 。 全 
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利用 刚才 证 明 的 引 理 ， 我 们 还 有 如 下 推论 : 
推论 令 P={tlimodn}，E=f{ec}， 则 [J :K]=[f71(P): (EY)=[P:E]=2。 
这 样 我 们 已 经 得 到 了 二 J 二 尺 ，[ :KK]=2* 以 及 [J :K]=2， 而 在 先前 群 指标 的 讨论 中 ， 
我 们 也 证 明 如 下 的 乘法 性 质 : 
[LT :J :KI=[1:K] 
因此 ，[7:J]=[1:K]/J:K]=2* 1。 又 因为 [G:J]=[G:1].[7:J]， 所 以 有 
[G:J]2[:J]=2"7! 
因为 强 〈 米 勒 - 罗 宾 》 说 谎 者 均 包含 地] ， 我 们 有 说谎 者 的 数量 。_1 如果 的 不 同 素 办 


1G1 2 
子 的 个 数 至 少 为 3， 即 N 兰 3 ， 则 





说 谎 者 的 数量 < 上 
1C1 4 
如 果 不 同 素 因 子 的 个 数 w 为 2, 则 我 们 知道 肯定 不 是 卡 米 克 尔 数 ,也 就 是 前 面 的 群 太 是 
G=Z/m 的 一 个 真子 群 。 由 拉 格 朗 日 定理 ，[G :如 ]>>2 ， 利 用 子 群 指标 的 乘法 性 质 有 ， 
[G:.J]=[G: HB :TU :IJ2IG:H]:[7:J]>2:2! =4 
因此 ， 我 们 断定 说 说 者 在 G 所 有 的 元 素 中 所 占 比例 小 于 1/4。 
最 后 , 假设 n= p* ， 即 一 个 素数 方 昭 的 情形 ( 即 N=1)。 此 时 由 本 原 根 的 存在 性 ，Z/ pe 
是 循环 群 ， 群 太 则 为 
H={geZ/p”*:g? "=1modp’} 
由 循环 群 的 讨论 ， 要 确定 |J1， 我 们 可 以 利用 加 法 群 Z/p(P?) 与 乘法 群 Z71p2 的 同 构 。 这 样 ， 
在 加 法 群 上 讨论 ， 需 要 知道 如 下 方程 的 解 的 个 数 : 
(P-Dz=0modp(P ) 
即 (z* -D:z=0mod(pP-Dp2。 这 样 的 方程 我 们 可 以 求解 ， 去 掉 公 因子 则 变形 为 
p” 一 








因为 系数 x 与 模 数 互 素 , 因此 它 有 乘法 道 元 , 所 以 方程 就 等 价 于 x=0mod z2 "因为 x 是 模 p 
的 整数 ， 我 们 恰好 得 到 p 一 1 个 模 g(p*) 的 不 同 解 。 
因此 ， 


[6:71G: HH: ASIG:H]= = pr 

p- 

除了 p=3，e=2 的 情况 ， 我 们 均 得 到 [G:J] 宛 4。 由 此 ， 我 们 断言 至 多 有 1/4 的 元 素 是 说 谎 
者 


对 n=9 的 特殊 情况 ， 正 好 有 两 个 强 的 说 谎 者 +l， 且 2/9--1)=1/4。 
这 就 证 明了 定理 ， 也 表明 米 勒 - 罗 宾 的 检验 方法 可 以 运行 。 全 
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与 检验 一 个 大 整数 否 为 素数 相 比 ， 尝 试 分 解 一 个 大 整数 则 是 一 个 更 加 困难 的 问题 ， 而 证 
明 一 个 伪 素 数 是 真正 的 素数 比 验证 它 的 伪 素 性 更 为 困难 。 

不 论 如 何 ， 在 使 用 任何 成 熟 的 检验 方法 之 前 ， 先 用 较 小 的 素数 做 一 定数 量 的 除法 试验 ， 
从 效率 的 观点 看 这 无 疑 是 明智 的 举措 。 

在 尝试 一 个 整数 m 之前， 首先 检查 它 是 否 能 够 通过 拟 素性 检验 也 是 明智 的 。 因 为 即使 成 
熟 的 分 解 方法 也 有 失效 的 可 能 ， 比 如 碰巧 n 是 素数 ， 由 此 造成 的 失效 却 是 难以 识别 的 。 也 就 
是 说 ， 在 尝试 分 解 n 的 任何 失败 中 ， 要 弄 清 楚 究 况 是 在 算法 执行 中 的 运气 不 好 ， 还 是 根本 
就 是 素数 ， 这 一 点 相当 重要 ， 如 果 运 气 差 还 可 以 做 一 点 校正 并 重新 执行 算法 。 然 而 ， 多 数 成 
熟 的 分 解 方法 在 素性 检验 方面 却 表 现 不 佳 ， 这 归咎 于 它们 的 失效 模式 。 因 此 我 们 只 讨论 已 知 
大 整数 是 合 数 〔 由 费 马 或 米 勒 - 罗 宾 检验 〉 的 分 解 。 

同样 ， 素 性 证 明 方法 也 应 当 只 在 已 知 一 个 数 为 伪 素 数 〔 即 一 个 可 能 的 素数 时 应 用 。 

从 实用 的 角度 出 发 ， 我 们 假设 所 有 “小 ” 素 因 子 已 经 被 去 掉 了 ， 可 能 用 试 除法 ， 这 一 点 
无 论 什 么 时 候 都 是 有 益 的 。( 至 于 “小 ”的 准确 含义 可 依赖 上 下 文 来 理解 。) 

我 们 这 里 介绍 的 两 种 分 解 方法 ， 并 不 代表 这 一 问题 的 现状 ， 主 要 是 因为 它们 容易 解释 、 
理解 和 执行 。 而 Rho 方法 还 创造 性 地 利用 了 “生日 悖 论 ” 的 思想 。p 一 1 方法 是 很 重要 的 ， 因 
为 在 公 钥 密码 体制 中 所 用 素数 的 选取 ， 必 须 能 避免 这 种 分 解 和 相关 的 攻击 。 


24.1 ”Pollard 的 Rho 方法 


Pollard 的 Rho 方法 可 以 较 快 地 找到 合 数 的 较 小 因子 。 这 是 一 个 比较 简单 的 分 解 方法 , 它 
在 分 解 素 因 子 在 1 000 000 附近 的 整数 时 ， 速 度 要 比试 除法 快 好 几 倍 。 一 方面 ， 该 方法 确 有 
实际 的 效果 ， 如 果 一 个 数 有 小 的 素 因 子 ， 则 它 能 以 比 寻找 一 个 大 因子 更 快 的 速度 找到 这 个 小 
因子 。 另 一 方面 ， 它 有 一 个 较 小 的 不 足 ， 就 是 它 是 概率 意义 上 的 方法 ， 所 以 必须 对 “ 坏 情况 ” 
的 出 现 有 足够 的 警惕 。 除 此 之 外 ， 该 方法 有 一 个 特殊 的 不 足 之 处 ， 即 它 难以 证 明 它 的 执行 效 
果 : 一 方面 ， 从 试验 角度 看 ， 这 可 能 被 认为 是 没有 结果 的 。 另 一 方面 ， 在 比较 重视 正确 性 的 
应 用 中 ， 这 显然 是 一 个 致命 的 缺陷 。 该 方法 第 一 次 出 现在 文献 中 [Pollard 1975]。 

该 算法 的 描述 比较 简单 ， 给 定 整 数 n， 设 初始 值 x=2，y=x?+1: 

@@ 计算 g = gcd(x- 切 站 ; 

e 如 果 1< gg <n， 则 停止 ，g 就 是 的 一 个 因子 ; 

e 如 果 g =1， 用 x*+1 代 符 x，(y? +1)? +1 代 替 y， 返 回 到 第 一 步 ; 

e 如 果 g =n， 失 败 ， 需 要 对 算法 重新 初始 化 ， 但 这 种 情况 很 少 出 现 。 

备注 ”利用 生日 悖 论 ， 找 到 的 一 个 因子 p 需要 的 循环 数 应 当 约 为 yp 阶 的 。 如 果 n 为 
合 数 ， 则 存在 一 个 素 因 子 p<Vn 。 所 以 该 算法 找到 一 个 真 因子 需要 4fn 阶 的 循环 (以 下 进行 
注释 )。 
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备注 ”如 上 所 述 ， 我 们 不 能 对 算法 运行 的 循环 数 强 加 一 个 限制 。 如 果 已 知 n 为 合 数 ， 这 
是 最 可 能 接受 的 ， 因 为 可 能 出 现 的 最 坏 情况 就 是 算法 需要 的 时 间 与 试 除法 一 样 多 。 最 成 问题 
的 情况 是 g =n， 所 幸 的 是 这 种 情况 出 现 的 概率 极 小 (难以 估计 》。 

备注 ”在 该 算法 的 执行 过 程 中 ， 对 执行 的 循环 数 应 当 加 以 可 能 的 限制 ， 当 然 是 在 校正 之 
前 ， 因 为 这 个 限制 有 几 种 选择 。Vn 步 太 多 ,而 且 无 论 如 何 它 也 不 比试 除法 来 得 快 。4/n 步 不 
足以 允许 “ 坏 情况 "的 出 现 。 在 实际 执行 中 ，1004/n 个 循环 似乎 对 找到 一 个 真 因子 是 足够 的 。 
尽管 如 此 ， 对 一 个 已 知 的 合 数 n， 让 该 算法 要 么 执行 成 功 ， 要 么 失效 。 这 是 十 分 合理 的 ， 这 
不 仅 是 因为 算法 要 运行 快速 ， 没 有 失效 ， 而 且 是 因为 对 算法 执行 的 循环 数 给 出 一 个 严格 估计 
而 加 以 恰当 的 限制 似乎 很 困难 。 有 关 Pollard 的 Rho 方法 的 一 个 严格 的 结果 ， 可 参见 [Bach 
1991] 。 

备注 同 前 面 提 到 的 一 样 ， 因 为 该 算法 最 坏 的 情况 就 是 完全 失效 ， 故 用 此 算法 来 检验 素 
性 是 不 明智 的 ， 因 为 对 合 数 它 也 可 能 出 现 失效 。 因 此 ， 在 实际 执行 Pollard 的 Rho 算法 之 前 ， 
首先 运用 对 的 素性 检验 。 这 里 可 以 运用 费 马 检验 ， 因 为 n 没 有 通过 费 马 检验 ， 则 确定 地 
为 一 个 合 数 。 如 果 该 法 不 行 ， 还 可 以 运用 米 勒 - 罗 宾 检 验 。 

备注 在 H.Cohen 的 《4 Course in Computational Algebraic Number Theory》 
(Springer-Verlag,1993 ) 一 书 中 ， 作 者 认为 应 付 “ 失 效 ” 状 态 的 最 好 办 法 是 使 用 一 个 不 同 于 
xx 六 +1 的 函数 。 尽 管 c= 0-2 是 坏 情况 ，f(y) = y* +c 计算 起 来 最 简单 ， 可 以 作为 一 种 选 
择 。 该 书 还 断言 ， 简 单 地 改变 x 的 初 值 ， 即 从 上 述 的 x= 2 变 为 其 他 值 ， 不 是 聪明 之 举 。 

备注 ”尽管 在 实践 中 倾向 于 把 由 该 方法 找到 的 真 因子 当 作 素 因子 ， 但 没有 任何 东西 保证 
这 个 真 因子 8 就 是 素数 。 然 而 ， 寻 找 一 个 非 素数 的 真 因子 却 是 分 解 过 程 中 完全 有 用 的 步骤 。 

该 算法 为 什么 可 行 ? 很 不 幸 的 是 ， 最 直接 也 最 容易 理解 的 解释 根本 就 是 不 严格 的 ， 而 且 
没有 找到 更 加 严格 的 解释 ， 也 许 这 正 是 该 算法 的 迷人 之 处 。 无 论 如 何 ， 有 两 个 关键 的 部 分 ， 
即 包含 在 生日 悖 论 中 的 概率 思想 和 Floyd 循环 检测 方法 ， 而 Floyd 循环 检测 方法 则 是 生日 迟 
论 思想 得 以 应 用 的 基础 。 

假设 为 一 个 正 整数 ，4d 是 它 的 真 因子 ，q 是 否 为 素数 并 不 重要 ， 只 是 4 与 n 相 比 是 非 
常 小 的 。 由 生日 悖 论 ， 我 们 知道 如 果 存 在 超过 Va 个 整数 名 ,x,,…,x, ， 则 这 些 数 中 有 两 个 数 
模 d 相等 的 概率 将 大 于 1/2。Pollard 的 Rho 方法 的 思想 则 是 Va 远 小 于 Vn ， 所 以 我 们 期 望 ， 
如 果 我 们 选择 一 个 整数 “随机 序列 ”x,x,,… ， 那 么 在 找到 两 个 整数 模 n 相等 之 前 ， 就 已 找 
到 两 个 数 模 a 相等 了 。 也 就 是 说 ， 假 设 x = x modq ， 但 还 不 知道 4 是 什么 ， 我 们 可 以 通过 
计算 求 得 da 注意， 用 欧 几 里 得 算法 计算 gcd 是 相对 容易 的 ): 

g = gcd(x; —xj,n) 
更 准确 一 点 ， 如 果 x, = xt modd ,但 x; zx modn， 则 这 个 gcd 将 是 4 的 倍数 ， 而 且 是 的 
一 个 因子 ， 严 格 小 于 nn 本身 。 这 也 被 认为 是 分 解 n 的 有 用 步 又 。 

一 种 过 于 天 真 的 实现 方法 就 是 对 所 有 的 i< 六 ,利用 计算 最 大 公 因子 gcd(x; -xj,n) 来 寻找 
的 真 因子 。 这 是 一 个 糟糕 的 主意 : 如 果 为 了 寻找 真 因子 4 我 们 希望 用 大 约 Vd 个 随机 整数 ， 
那么 将 不 得 不 进行 (Va)? = 了 4 阶 的 ged 计算 ， 也 就 是 说 ， 我 们 在 用 试 除法 求 4 〈 试 除法 的 
每 个 步骤 都 要 比 欧 几 里 得 算法 简单 )。 

所 以 我 们 需要 一 种 聪明 的 方法 来 利用 生日 悖 论 。 也 就 是 在 这 里 我 们 利用 了 Pollard 的 Rho 
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方法 产生 假定 随机 整数 的 特定 方式 。 首 先 ， 我 们 假设 算法 中 使 用 的 函数 f(x) =(x?” +D%n 是 
Z/n 到 本 身 的 一 个 随机 映射 ， 因 为 在 这 方面 也 没有 人 给 出 更 多 事实 的 证 明 ， 我们 也 不 想 确 切 
地 说 明 这 里 的 含义 是 什么 。 但 不 论 如 何 , 如 果 我 们 用 如 下 的 方式 构造 一 个 假设 的 随机 数 序列 ， 
则 序列 中 的 后 一 个 元 素 都 完全 决定 于 前 一 个 元 素 : 
xo =2 
= f (xo) 
x = f(x1) 
x = f(x,) 


也 就 是 说 ， 如 果 对 i< 有 x)=x;modq ， 则 必 有 
Xi = Xn X22 =X XH3 = XH3 moda 
等 等 。 特 别 地 ， 及 x = Xi(ji)modq 。 同 理 ， 只 要 1 一 1(j -i) 之 i ， 就 有 
= XD = X20) = -37) = "= Xe) modd 
即 比 起 我 们 仅 有 的 一 个 递增 请 陷 机 数 茉 台 ， 这 里 迅 有 一 个 更 刘 结 吉 构 化 的 东西 。 
注意 我 们 这 里 不 必 关 注 第 一 个 x, =x) 的 情况 ， 但 却 要 关注 相对 早 的 情况 。Floyd 循环 检 
测 方 法 就 是 寻找 匹配 的 有 效 方 法 。 首 先 ， 我 们 不 必 记 住 整 个 x 的 列表 ， 这 样 做 效率 太 低 。 我 
们 只 要 记 住 最 后 一 个 ， 同 时 还 要 计算 一 个 序列 ;: 
1=X2 
J2 = X4 
Jy3™ X6 


J4 = 3X8 





Vi = Xi 
计算 y 序列 的 高 效 方法 是 利用 下 面 这 个 公式 ， 并 且 只 需要 记 住 最 后 一 
yn = (7 +1) +1%n 
在 每 一 步 ， 我 们 只 记 住 了 计算 所 得 的 x, 和 y,， 并 且 考 虑 gcd (x, --y,,n)。 为 什么 这 最 有 可 
能 找到 一 个 真 因子 呢 ? 设 i<j，j 是 第 一 个 满足 x; =x;modq 的 下 标 ， 利 用 前 面 的 讨论 ， 这 
意味 着 只 要 1-1(j 一 让 之 i ， 有 
Xi = x modd 
所 以 取 t=2s : 对 所 有 满足 t-1(j 一 让 之 i 的 s， 
ys = X2s = X25 41071) Mod d 
所 以 当 s 之 i ，s =1(j 一 门生 1(j 一 让 和 i 《对 足够 大 的 1 亦 成 立 ) 时 ， 
ys = Xs = XU = Xass = Xs modd 
这 就 证 明了 上 述 所 用 的 方法 在 求 ,x 使 得 x = x modd 时 真正 有 效 ， 假 设 它们 存在 的 话 。 
备注 ”注意 在 后 面 比较 见长 的 讨论 中 , 假设 了 函数 x -> x +1 的 动作 是 “随机 ”的 ， 而 我 
们 对 此 没有 提供 任何 保证 。 而 且 ， 假 设 了 这 个 映射 的 随机 性 ， 才 有 可 能 在 一 个 匹配 情况 出 现 
之 前 对 期 望 的 循环 数 做 出 一 个 更 加 准确 的 分 析 。 这 个 分 析 与 我 们 上 面 的 讨论 有 关 ， 而 且 较 之 
更 加 成 熟 。 
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24.1.01 用 Pollard 的 Rho 方法 求 1133 的 一 个 真 因子 。 
24.1.02 用 Pollard 的 Rho 方法 求 1313 的 一 个 真 因 子 。 
24.1.03 用 Pollard 的 Rho 方法 求 1649 的 一 个 真 因 子 。 


24.2 Pollard 的 p-1 方 法 


这 个 方法 有 点 特殊 ， 它 只 能 应 用 在 求 一 个 素 央 子 p ,使 p -1 能 被 “小 ”因子 整除 的 情况 
下 ， 除 此 之 外 该 方法 将 无 法 正常 应 用 。 但 是 这 个 检验 的 运用 是 相当 简单 的 ， 所 以 在 防止 因子 
分 解 攻击 时 ， 必 须 考 虑 这 一 方法 。 

给 定 一 个 整数 B， 一 个 整数 n 称 为 是 8 平滑 的 ， 如 果 它 的 所 有 素 因 子 均 小 于 等 于 8 。 在 
本 节 中 ，B 就 是 平滑 性 界限 。 一 个 整数 4 称 为 是 B 方 究 平 滑 的 ， 如 果 它 的 所 有 素数 方 需 因子 
小 于 等 于 B。 

给 定 一 个 整数 n，Pollard 的 p-1 算 法 寻找 的 一 个 BB 平滑 的 素 因 子 p ， 将 需要 
O(BInn/lnB) 次 模 n 乘法 。 

备注 保持 B 较 小 显然 是 我 们 所 期 望 的 , 它 应 当 是 小 于 Vn ,或 者 通过 做 试 除法 一 无 所 获 。 
另 … 方 面 ， 她 的 值 大 小 将 导致 算法 不 能 找到 内 子 ， 在 实践 中 ， 因 为 妃 的 值 必须 保持 较 小 而 不 
能 找到 所 有 的 因子 ， 这 个 算法 正好 用 在 我 们 运气 较 好 且 某 个 p-1 有 全 部 较 小 的 素 因子 的 情 
况 ， 这 里 的 p 就 是 我 们 讨论 大 数 的 一 个 案 因 子 。 

备注 “一 个 随机 选取 的 数 ， 我 们 希望 它 的 素 因 子 是 多 大 呢 ? 这 个 问题 非 同 一 般 ， 并 且 没 
有 一 个 简单 答案 。 

给 定 一 个 已 知 是 合 数 的 整数 靖 ， 但 不 是 一 个 素数 的 一 个 方 桔 ， 并 且 给 出 一 个 平滑 性 界限 
8 ， 选 取 一 个 随机 整数 bp，2 志 bp 志 n -1。 计 算 g=gcd(2m， 如 果 g8>2 ， 则 sg 就 是 一 个 真 因 
子 ， 停止， 否则 ， 令 pi, p,,…, pi 为 小 于 等 于 B 的 素数 ， 对 i=1,2,3,…,t， 令 g=p;， 并 且 

e 计算 /= floor(lInn/lnp,); 

。 用 br” 代替 5， 

e 计算 g = gcd(b 一 1,n); 

。 如 果 1< gg <n; 结束 ，g 就 是 一 个 真 因 子 ; 

@ 如 果 g =1: 继续 ; 

e 如 果 g =n: 结束 ， 失 败 。 

备注 ”如果 B 相 当 大 ， 则 可 以 节约 - 些 时 间 ， 不 用 在 一 开始 就 计算 所 有 的 p,,…, p, ， 只 
需要 计算 所 需要 的 ， 并 希望 之 前 就 找到 一 个 因子 。 另 一 方面 ， 如 果 正 在 检验 几 个 数 ， 则 推迟 
计算 所 有 的 素数 列表 是 没有 意义 的 。 

了 一 1 方法 为 什么 可 行 ? 如 果 我 们 可 以 对 某 个 整数 b， 得 到 1< gcd(5 一 1,n) <n， 则 已 经 找 
到 了 一 个 真 因子 g = gcd(b 一 1,n) 。 在 该 算法 中 ， 令 

p=1l+pr pr 

是 n 的 一 个 B 平 滑 的 素 因 子 ，e 为 整数 指数 。 对 任意 与 p 互 素 的 整数 b， 由 费 马 小 定理 ， 
5 =1， 即 


po 有 ~1modp 
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而 上 =floor(Inn/In p,) 大 于 或 等 于 e,。 令 T= pr.… pr ; 则 pr … pr 整除 7。 因此, b”=1modp， 
这 里 的 整数 b 与 p 互 素 。 即 p|gcd(b? -1,n)。 
注意 ， 上 面 给 出 的 实际 算法 要 比 前 面 这 一 段 中 指出 的 方法 更 频繁 地 计算 gcd ， 这 也 就 避 
免 了 gcd(b” -1,n)=n 的 可 能 。 
该 算法 可 能 出 现 失效 的 原 央 有 两 方面 。 一 是 n 没 有 使 得 p-1 是 8 平滑 的 素 因 子 p ， 在 这 
种 情况 ,计算 出 的 ged 总 是 1。 另 一 种 失效 模式 是 n 的 所 有 素 因 子 g 都 使 得 g -1 是 8 平滑 的 ， 
此 时 ged(b”-1,n)=n。 也 就 是 这 个 原因 ， 上 面 给 出 的 算法 还 要 计算 额外 的 ged ， 即 使 所 有 计 
算 所 得 的 gcd 为 1 或 n， 只 要 在 这 些 gcd 中 至 少 出 现 一 次 ， 则 算法 就 有 成 功 的 希望 : 只 是 简 
单 地 换 一 个 不 同 的 初始 随机 数 5 重新 开始 。 
例子 用 疡 -1 方法 分 解 9991= 97.103 。 注 意 97-1=25.3， 所 以 97-1 是 {2.3} 平滑 的 ， 
取 初 始 值 b=3 ，jlog; 9991 的 整数 部 分 为 13 ， 因 此 首先 计算 
b> %9991= 229 
利用 欧 几 里 得 算法 ， 计 算得 gcd(9991229 -1)=1， 所 以 在 这 一 轮 求 9991 的 因子 失败 。 接 
下 来 ，log; 9991 的 整数 部 分 为 8。 故 计算 5b”%9991， 即 5”%9991=3202 ， 利 用 欧 几 里 得 算 
法 ， 计 算出 gcd(99913202 -D =97 ， 因 此 就 找到 了 一 个 因子 97。 
例子 “分解 3801911=1801.2111， 因 子 1801 为 2,3,3} 平 滑 的 ，1801-1= 23.32.$2 。 取 
初始 值 5=3 ，log; 3801911 的 整数 部 分 为 21， 所 以 首先 计算 
pb? %3801911 = 3165492 
利用 欧 几 里 得 算法 ，gcd(38019113165492 -0 =1， 所 以 这 一 轮 寻 找 3801911 的 因子 失败 。 再 
来 看 p, =3 的 情况 ，log; 3801911 的 整数 部 分 为 13， 所 以 计算 
13 %3801911 = 2431606 
利用 欧 几 里 得 算法 求 得 
gcd(3801911.2431606-D =1 
这 一 轮 又 告 失败 。 最 后 ， 来 看 pm =5 ，log; 3801911 的 整数 部 分 为 9， 所 以 计算 
bs %3801911= 2604247 
利用 欧 几 里 得 算法 求 得 
gcd(3801911,2604247-1)=1801 
因此 ， 我 们 找到 了 3801911 的 一 个 因子 1801。 
备注 实际 上 ， 在 中 间 过 程 可 以 跳 过 对 ged 的 计算 ， 这 些 中 间 计 算 仅 仅 是 为 了 避免 某 些 
相对 不 可 能 的 重合 情况 。 
例子 ”分解 54541557732143 = 54001.1010010143 。 素 数 54001 是 {2,3,5} 平 滑 的 ， 初 始 值 
b=3 。 这 一 次 我 们 跳 过 中 间 gcd 的 计算 。2 的 指数 为 45，3 的 指数 为 28，5 的 指数 为 19， 计 
算 
bp? %54541557732143 = 1333741139152 
by %54541557732143 = 22167690980770 
05 %54541557732143 = 2268486536233 
最 后 计算 
gcd(54541557732143,2268486536233-1) = 54001 
因此 ， 我 们 就 找到 了 54541557732143 的 一 个 因子 54001。 | 
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习题 


24.2.01 利用 Pollard 的 p-1 方 法 求 901 的 一 个 素 因 子 p ， 使 得 p -1 为 B 平 滑 的 ， 这 里 
的 因子 基 B= {2} 。 

24.2.02 利用 因子 基 B = {2,3} 的 Pollard 的 p-1 方 法 ， 求 11009 的 一 个 素 因 子 p ， 使 得 
p 一 1 为 8 平滑 的 。 

24.2.03 利用 因子 基 B = {2,3} 的 Pollard 的 p-1 方 法 ， 求 11227 的 一 个 素 因 子 p ， 使 得 
p-l 为 B 平 滑 的 。 

24.2.04 利用 因子 基 B = {2,3} 的 Pollard 的 p-1 方 法 ， 求 11663 的 一 个 素 因子 p ， 使 得 
p11 为 8 平滑 的 。 


24.3” Pocklington-Lehmer 准则 


这 是 一 种 专门 的 技术 ， 特 别 适 用 于 整数 N 的 素性 检验 ， 使 得 入 -1 可 以 分 解 。 这 种 方法 
最 常用 于 特殊 形式 的 整数 ， 比 如 费 马 数 2”+1。 该 方法 的 一 个 更 为 成 熟 的 变形 给 出 了 对 梅森 
数 2” -1 素性 的 Lucas-Lehmer 检验 ， 这 些 数 中 有 目前 已 知 的 最 大 素数 。 该 检验 不 是 概率 意义 
上 的 ， 所 以 它 在 适用 的 时 候 给 出 了 素性 的 证 明 。 这 一 思想 源 自 于 1876 年 和 1891 年 Eduard 
Lucas 的 工作 ， 费 马 小 定理 的 一 种 真 逆 命 题 。 

这 一 技术 可 用 于 证 明 整 数 N 的 素性 ， 或 减少 真 因 子 的 搜索 空间 ， 条 件 是 NN -1 的 分 解 是 
已 知 的 。 

引 理 ” 设 NN 是 一 个 正 整 数 ，g 是 N-1 的 一 个 素 因子 。 设 2 是 满足 b*" =1modN ， 但 
sgcd(bt 9 -1 N)=1 的 整数 ， 令 9 是 恰好 整除 W-1 的 9 的 方 寨 ， 则 的 任意 正 因子 @ 满足 
d=lmoda  。 

证 明 设 d 是 N 的 一 个 正 因 子 ， 因 为 我 们 可 以 将 d 表 示 为 它 的 素 因 子 的 乘积 ， 即 
d=[ [ps ， 所 以 如 果 能 够 证 明 p, =1modgq* ， 则 自然 有 4d =1modq* 。 因 此 考虑 入 的 素 因 子 


p=d 的 情况 就 足够 了 。 

引 理 的 一 个 假设 条 件 还 给 出 了 这 样 一 个 事实 , 即 5.22 一 =1lmodN ,因此 2 是 六 “ 模 六 的 
乘法 逆 元 ， 所 以 它 与 NN 互 素 ， 这 样 b 与 p 也 就 是 互 素 的 。 

令 + 是 在 乘法 群 Z/ 严 中 的 阶 , 即 b' =1modp ,但 不 存在 比 1 更 小 的 整数 满足 这 一 条 件 。 
而 由 费 马 小 定理 可 知 ，p2e =1modp， 所 以 t|p-1。 另 一 方面 ， 因 为 

ged(b 0 1,N)=1 
当然 有 
gcd(b Ys 1 p)=1 

因此 p 不 能 整除 bY-09 -1， 即 p19 1mod p 。 这 也 就 是 说 ，t 不 能 整除 (N -1)/qg 。 又 因 
为 bx =1modW ,当然 有 bx =1modp， 所 以 1|N-1。 

那么 由 tIN-1 且 t 不 能 整除 (N-1/g 可 得 gqt， 又 因为 flp-1， 则 g*1p-1， 即 
p=1modg*。 这 就 证 明了 我 们 的 结论 。 电 
定理 设 N-1=K.U ,这 里 玉 和 7 为 互 素 的 整数 , 天 的 分 解 式 是 已 知 的 , 并且 天 > VN ， 
则 
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。 如 果 对 每 个 整除 K 的 素数 g， 存在 一 个 5 ， 使 得 b=]1 modN ,但 是 N 与 bp? 一 1 
互 素 ， 即 gcd(bW19 -1,N)=1， 则 为 素数 。 

。 如 果 N 为 素数 ， 则 对 每 个 整除 天 的 素数 g， 存 在 一 个 b， 使 得 b”* ”=1mod 入， 但 是 
NN 与 5b 09 -1 百 素 , 即 gcd(b D9 -LN)=1。 

证 明 如 果 为 素数 ， 则 Z/N 有 一 个 本 原 根 5， 它 满足 bp*" "=1 modN ， 但 
gcd(bp V9 I,N)=1. 

现在 假设 存在 那样 一 个 5 满足 所 述 条 件 ， 我 们 来 证 明 N 为 素数 。 假 设 每 个 整除 K 的 素数 
9， 存 在 一 个 ， 使 得 如 -=1modN ， 但 是 与 bg- -1 互 素 ， 则 由 引 理 ，N 的 所 有 因子 
模 天 同 余 1 。 如 果 N 不 是 素数 ， 则 它 有 一 个 〈 素 ) 因子 4，1<4d <YN 。 但 是 ZL=1lmod 天 ， 
玉 > VN 。 这 就 出 现 了 了 矛盾， 因此 N 是 素数 。 

这 个 定理 对 于 检验 共有 特殊 形式 的 整数 的 素性 ， 给 出 了 一 个 非常 有 效 的 方法 。 

推论 [Proth 1878] 设 和 N=u2”+1， 这 里 wu 为 奇数 且 w<2”。 假 设 存在 一 个 b， 使 
px =-1mod 和 N ， 则 N 为 素数 。 

证 明 ”由 已 知 条 件 有 N -1=2".x， 因 为 yw<2"，2" > VN ,将 这 里 的 条 件 用 到 前 面 定理 
中 ， 即 处 =2”，U=u， 而 bW 2?=-lmodN 即 是 指 b0 -1=-2modN ， 因 此 
gcd(bW-D? -1,N)|gcd(-2,N)=1， 这 是 因为 N 为 奇数 。 这 样 就 完全 符合 上 述 定理 的 条 件 ， 
所 以 NWN 为 素数 。 - 全 

下 面 的 定理 给 出 了 进一步 改进 的 可 能 。 注意 到 看 似 特别 的 一 个 条 件 : 对 某 个 给 定 的 界 名 
未 分 解 部 分 没有 小 于 等 于 8 的 素 因子 ， 却 是 一 个 非常 实用 的 条 件 ， 因 为 在 实践 中 总 是 用 试 除 
法 和 Pollard Rho 方法 去 掉 了 N -1 的 小 的 素 因 子 。 

定理 假设 N-1= 尺 .VU ， 这 里 的 分 解 是 已 知 的 ，gcd(K,U)=1， 且 未 分 解 部 分 U 的 
所 有 素 因子 是 大 于 一 个 界 B 的 。 假设 3B.K 宇 VN ,并 假设 对 每 个 整除 KK 的 素数 gq, 存在 b( 依 
赖 于 g ) 使 gx =1modN， 但 gcd(bp-09 -1,N)=1。 还 假设 存在 一 个 bo, 使 bo* =1modN 
且 ged(b? -1,N)=1， 则 NN 为 素数 。 反 之 ， 如 果 N 为 素数 ， 则 满足 上 述 条 件 。 

证 明 ”这 个 定理 证 明 与 前 面 引 理 的 证 明 类 似 。 设 p 是 N 的 一 个 素 因 子 ， 由 前 面 引 理 ， 
p=lmodK。 令 :是 b 在 Z/ yp” 中 的 阶 , 则 由 费 马 小 定理 ，t|p -1。 而 由 最 后 的 假设 ，t|N -1 且 
t 不 整除 K 。 注 意 K=(N -1/U ， 因 为 1 不 整除 KK 且 t|N--1=K.U，, 不 可 以 有 1 与 U 互 素 。 由 
于 U 所 有 素 因 子 均 大 于 B， 所 以 gcd(1,U)>B 。 又 因为 gcd(K,U)=1， 由 t|p-1 和 KK|p-1 以 及 
惟一 分 解 , 我 们 有 1em(t,K)| p -1。 特 别 地 ,gcd(1,U).K|p-1。 因 为 gcd(t,U)>B 有 HK.B>YN， 
可 以 得 到 p -1> B.K > VN 。 因 此 N 没有 小 于 等 于 VN 的 素 因子 ， 所 以 它 是 素数 。 由 

作为 这 个 定理 的 特殊 应 用 ， 我 们 来 检验 费 马 数 N = 屎 =22 +1 的 素性 。 前 面 的 推论 给 出 
了 素性 的 一 个 充分 条 件 ， 但 如 果 我 们 利用 二 次 互 反 律 ， 可 以 证 明 费 马 数 在 特殊 情况 下 一 个 充 
分 必要 条 件 。 

推论 (Pepin 检验 ) ”第 n 个 费 马 数 忆 ,=2”+1 为 素数 当 且 仅 当 

37D2 = -lmod 已 

证 明 ”这 个 结论 就 是 前 面 那个 推论 中 =1 的 情况 。 一 方面 ， 如 果 同 余 式 3 
=-1modF, 成 立 ， 且 F,=1.2”+1，1<2”， 因 此 下 是 素数 。 

另 一 方面 ， 假 设 已 是 素数 ， 则 我 们 可 以 利用 二 次 互 反 律 计算 二 次 符号 : 
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3 = (1) m7/4, FB _ 
F, 2 3 2 3 2 


我 们 再 来 做 模 3 的 计算 : =27 +1=(27?7+1, 因为 2* "1' 模 3 是 非 零 的 , 即 它 模 3 为 二 l ， 
所 以 它 的 平方 为 1。 因 此， 下, =22 +1=(22 0)2+1=1+1=2mod3。 因 为 2 不 是 模 3 的 平方 ， 
所 以 


再 由 欧 拉 准则 ， 我 们 得 到 


四 =340 V2 modF, 


B32 -lmodF,。 
因此 车 所 ,是 素数 ， 利 用 二 次 互 反 律 和 欧 拉 准则 就 得 到 了 推论 中 的 同 余 式 。 3 
备注 “似乎 只 有 最 前 面 $ 个 费 马 数 已 知 是 素数 ; 
22 +1=3 
22 +1=5 
22 +1=17 
22 +1=257 
22 +1= 65537 
这 些 数 费 马 已 认识 到 是 素数 ， 目 前 已 知 紧 接着 的 19 个 费 马 数 是 合 数 。 费 马 曾 宣称 第 5 个 费 


马 数 三 = 22 +1= 4294967297 也 是 素数 ， 但 在 100 年 后 ,网 拉 发 现 这 个 数 有 一 个 真 因子 641; 
4294967297 = 641.6700417 


网 拉 并 没有 用 穷尽 的 方法 ， 他 首次 证 明 并 使 用 了 如 下 引 理 ， 从 而 明显 减 小 了 因子 搜索 空间 。 
他 的 证 明 类 似 于 费 马 对 45” -1 可 能 素 因子 的 发 现 。 通 过 128 因子 获得 了 一 种 更 加 快速 的 搜索 
方法 。 

引 理 ”2”+1 的 每 个 素 因子 p 满足 p=lmod2"?。 

我 们 首先 看 一 些 例子 ， 然 后 再 给 出 引 理 的 证 明 。 

由 此 , 为 了 寻找 羽 =22 +1 的 因子 ,我 们 只 需要 考查 形 如 上 .27 +1 的 那些 素数 : 257, 641 
等 等 。 如 果 257 不 能 整除 态 = 22 +1， 容 易 验 证 641 整除 局 =22 +1。 这 比 起 从 素数 2、3 
开始 ， 逐 个 试验 一 直到 641 的 116 个 素数 要 容易 得 多 。 

备注 ”注意 随 着 n 的 增 大 ， 在 寻找 2”+1 的 因子 中 这 个 加 速 方法 的 效果 越 来 越 不 明显 。 
比如 第 6 个 费 马 数 忆 = 2 +1=18446744073709551617 ， 由 Pepin 准则 知 其 为 合 数 ， 在 一 个 
台式 机 上 用 解释 〈 非 编译 ) 语言 执行 几 秒 钟 即 可 得 出 结果 。 这 个 数 若 用 试 除法 则 太 大 了 ， 但 
是 如 果 用 欧 拉 的 加 速 方法 ,会 在 几 秒 钟 内 找 出 因子 274117， 尽 管 我 们 知道 在 找 出 一 个 因子 前 
需要 进行 





V18446744073709551617 /128 ~ 33554432 
次 试 除法 。 用 Pollard 的 Rho 方法 也 能 在 几 秒 内 找到 分 解 : 
已 =274177.67280421310721 
利用 基 为 2、3、5、7、11、13、17、19 的 米 勒 - 罗 宾 检 验 只 能 指出 67280421310721 是 一 个 
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可 能 的 素数 (不 到 1 秒 )。 但 这 个 数 要 用 除法 试验 在 合理 的 时 间 内 ， 如 几 分 钟 ， 验 证 其 素性 
则 显得 太 大 而 难以 实现 。 但 是 ,如 对 这 个 数 应 用 欧 拉 的 加 速 方法 , 只 需要 用 数 d =1mod128( 因 
为 26 =128 ) 去 除 ， 这 将 需要 约 
V67280421310721/128 ~ 64081 
次 试 除法 。 欧 拉 加 速 方法 可 以 在 几 秒 内 验证 67280421310721 的 素性 。 
第 7 个 费 马 数 
已 =340282366920938463463374607431768211457 

由 Pepin 检验 可 知 其 为 合 数 。 然 而 用 试 除法 来 寻找 一 个 因子 将 花费 极其 大 量 时 间 ， 即 使 用 欧 
拉 加 速 方法 和 Pollard 的 Rho 方法 也 不 能 在 几 分 钟 内 〈 在 相同 条 件 下 ) 找到 一 个 因子 : 我 们 


\JV340282366920938463463374607431768211457 = 4294967296 
次 循环 才能 找到 一 个 太平 方 根 附 近 的 因子 。 
证 明 ( 欧 拉 引 理 ) ”如 果 p|27 +1， 则 27? = -lmodp， 所 以 22”=1lmodp 。 那 么 我 们 
可 断 首 2 在 Z/ yp* 中 的 阶 为 2 中 。 由 费 马 小 定理 ，25 =1modp ， 因 此 2 的 阶 整除 PP-1， 即 
2”"|p-1。 这 已 快要 接近 我 们 要 证 明 的 结论 了 ， 但 为 了 使 结论 更 加 明晰 ， 继 续 如 下 过 程 。 


对 nn 宇 2， 也 即 p=1mod8 ， 由 二 次 互 反 律 ， 3 -1， 也 就 是 说 2 是 模 p 的 一 个 平方 。 由 


2 
欧 拉 准 则 ，24 =1modP。 因 此 ，2 在 Z/p* 中 的 阶 整除 wp-1)/2， 由 此 即 得 引 理 的 结论 。 
全 

备注 ”如果 不 用 二 次 互 反 律 ， 我 们 将 得 到 一 个 稍 弱 一 点 的 结论 ， 即 整除 2* +1 的 已 具 有 
1+.2"" 的 形式 ， 其 中 上 为 菜 个 整数 。 

备注 “针对 2? +1 的 素 因 子 的 欧 拉 条 件 容 易 推广 〈 略 去 二 次 互 反 律 的 应 用 ) 为 这 样 的 结 
论 : 5”+1 的 任何 素 在 子 p >2，, 满足 p=1mod2n 。 这 又 十 分 类 似 于 费 马 对 加 -1 因子 的 发 现 ， 
实际 上 更 简单 。 

备注 “利用 大 的 有 限 域 ,一 个 某 种 程度 上 更 成 熟 的 讨论 将 导致 形成 对 梅森 数 2” -1 素性 的 
Lucas-Lehmer 检验 : 定义 序列 

Ug =4 = UL 2, =U 2 Un = U3 -2 
当 n>2 时， 这 个 数 是 素数 当 且 仅 当 为 素数 ， 并 且 w, ,=0mod2” -1。 

当 n 为 3、5、7、13、17、19、31、61、89、107、127、521、607、1279、2203、2281、 
3217 时 ， 梅 森 数 2” -1 为 素数 。 这 些 数 是 很 小 的 ， 可 以 在 一 人 台 人 台式 机 上 很 容易 地 运行 
Lucas-Lehmer 检验 以 验证 它们 的 素数 。 另 一 方面 ， 列 表 上 的 nn 值 对 应 的 梅森 数 却 是 很 大 的 ， 
以 至 于 用 任何 一 般 的 方法 都 无 法 证 明 它们 的 素性 。 比 如 

2127 —1=170141183460469231731687303715884105727 
有 39 位 (十 进 制 )， 这 是 1947 年 已 知 的 最 大 素数 。 而 
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23217 _] = 
2591170860132026277762467679224415309418 
1888755312542730397492316187401926658636 
2086201209516800483406550695241733194177 
4416895092388070174103777095975120423130 
6662408291635351795231118615486226560454 
7691127595848775610568757931191017711408 
8262521538490358304011850721164247474618 
2303147139834022928807454567790794103728 
8235820705892351068433882986888616658650 
2809276920803396058693087905004095037098 
7590211901837199162099400256893511313654 
8829739112656797303241986517250116412703 
5097054277734779723498216764434466683831 
1932254009964899405179024162405651905448 
3690809616061625743042361721863339415852 
4264312087372665919620617535357488928945 
9962919518308262186085340093793283942026 
1866586142503251450773096274235376822938 
6494071277008460771242118230808041392980 
8705750471382526457144837937112503208182 
6126566649084251699453951887789613650248 
4057393785945994443352311882801236604062 
6246860921215034993758478229223714433962 
8858485938215738821232393687046160677362 
909315071 


有 970 位 。 在 1998 年 底 已 知 的 最 大 素数 是 梅森 数 2” ” -1。 
备注 [Fellows,Koblitz 1992] 给 出 了 一 个 确定 性 多 项 式 时 间 内 分 解 N 的 算法 , 条 件 是 假设 
已 知 W -1 的 分 解 。 


习题 


24.3.01 在 Proth 推论 的 特殊 情况 下 ， 利 用 Pocklington-Lehmer 准则 证 明 193 的 素性 ， 即 
将 193 表示 为 193 =x .2 +1 的 形式 ， 这 里 * 为 奇数 。 

24.3.02 在 Proth 推论 的 特殊 情况 下 ， 利 用 Pocklington-Lehmer 准则 证 明 241 的 素性 。 

24.3.03 在 Proth 推论 的 特殊 情况 下 ， 利 用 Pocklington-Lehmer 准则 证 明 353 的 素性 。 


24.4 ” 强 素 数 


一 个 强 素数 p 是 这 样 一 个 素数 ， 如 果 它 作为 一 个 大 整数 的 因子 出 现 ， 会 使 得 n 的 分 解 
相当 困难 。 因 此 ， 真 正 的 含义 依赖 于 特定 因子 分 解 攻击 的 思想 ， 在 这 样 的 攻击 中 ，p 的 出 现 
将 导致 最 坏 情 况 的 出 现 。 

事实 上 ,“ 强 素数 ”的 概念 可 能 会 随时 间 变 化 而 变化 ， 随 着 因子 分 解 技术 的 发 展 而 改变 ， 
随 着 相关 的 数 的 尺寸 的 增加 而 改变 ， 随 着 密 钥 空间 的 增加 而 改变 ， 随 着 计算 机 运行 速度 的 提 
高 而 改变 等 等 〈 随 着 算法 的 改进 而 改变 ? )。 

准确 地 讲 ， 一 个 强 素数 是 这 样 一 个 素数 p ， 使 得 

e p 一 1 有 一 个 “大 ”的 素 因 子 r+; 
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。 p+1 有 一 个 “大 ”的 素 因 子 ; 

e。 -1 有 一 个 “大 ”的 素 央 子 。 

第 一 个 条 件 保证 ,如果 一 个 整数 x 有 一 个 因子 p ; 则 可 以 对 抗 Pollard 的 p 一 1 分 解 方 法 ， 
即 p 不 是 非常 平滑 的 。 第 二 个 条 件 是 对 抗 对 4 的 类 似 攻 击 的 需要 ， 对 n 的 一 个 素 因 子 p ， 尝 
试用 p+1 的 任何 可 能 的 平滑 性 。 第 三 个 条 件 相 对 复杂 ， 但 实质 是 一 样 的 。 

备注 ”以 前 ,“ p+1 的 一 个 大 素 因 子 s 应 当 本 身 有 一 个 大 的 因子 ”这 个 条 件 是 强加 到 “ 强 
素数 ”上 的 。 但 现在 这 个 条 件 不 再 强加 给 强 素数 了 ， 因 为 我 们 已 经 认识 到 ， 针 对 这 类 防护 机 
制 的 因 式 分 解 攻 击 已 随 着 数 的 增 大 效果 越 来 越 差 。 同 样 ，r-1 的 一 个 大 素 因 子 $ 也 可 能 被 要 
求 s-1 有 这 样 一 个 大 的 素 因 子 。 但 是 针对 这 种 保护 的 “平滑 性 ”攻击 也 随 着 有 关 数 的 增 大 而 
不 再 有 效 。 

如 下 大 致 描述 的 算法 需要 做 一 些 校正 以 达到 上 述 目 标 。 为 了 更 加 明确 地 说 明 问 题 ， 我 们 
将 讨论 如 何 寻 找 256 位 的 强 素数 。 注 意 在 整个 过 程 中 ， 有 些 参数 我 们 没有 指定 ， 但 它们 的 选 
取 仍 需要 仔细 其 酌 。 

e 选择 一 个 随机 的 256 比特 的 奇 整数 + ，; 

。 利用 米 勤 - 罗 宾 方 法 检验 mr+2,r+4r+6r+8r+10… 的 强 伪 素性 〈 拟 素性 );〈 当 有 
一 个 “明显 ”的 小 素 因 子 时 为 避免 指数 运算 ， 可 对 每 一 个 数 做 试 除 法 ) 

设 pi 是 找到 的 〈( 强 伪 〉 素 数 ; 


e 由 素数 理论 ， 在 找到 一 个 〈 伪 》 素 数 之 前 ， 将 需要 logr = 89 次 尝试 。 每 一 个 要 移 位 





logr), 由 此 


r 


2， 因 此 pi =r+2. 了 logr=rd+ 





log, pi ~ log,r +log,(l+ le”) ~ logsr = 256 
r 
所 以 我 们 希望 所 最 可 能 是 一 个 256 比特 的 〈 伪 ) 素数 。 


然后 检验 2p! +1、4p!i +1、6p! +1、8p!+1 和 10p!i +1 的 强 拟 素性 ; 
设 pi 是 找到 的 ( 伪 〉 素 数 ; 
由 算术 级 数 中 素数 的 犹 利克 雷 定理 ， 作 为 一 种 推测 ， 我 们 设想 在 找到 一 个 素数 前 ， 将 


需要 7 log p' x91 次 尝试 ， 那 么 p, 将 大 约 有 


256+ log2(27 log(p')) ~ 256+ log2(7 2°) s256+6.5s<263 比特 


我 们 用 寻找 pi 类 似 的 方法 来 寻找 p,: 选择 一 个 随机 的 256 比特 的 奇数 + ， 并 检验 
mr+2r+4r+6r+gr+l0… 的 强 伪 素 性 〈 拟 素性 )， 直 到 找 出 一 个 〈 伪 ) 素数 。 
设 p, 是 找到 的 ( 伪 ) 素数 ， 由 素数 定理 ， 我 们 希望 在 找到 一 个 素数 之 前 ， 大 约 进行 了 
了 logr = 89 次 尝试 py sr+2.7logr =r(1+ er”) 。 由 此 


r 


log, P2 ~ log2r +logs(l+ -7) ~logyr =256 
r 
则 p, 最 可 能 是 256 位 的 素数 。 


现在 用 欧 几 里 得 算法 求 一 个 整数 :使 得 全 Lm04 名。 ， 我 们 在 模 数 中 加 入 因子 4， 
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目的 是 保证 将 t 为 奇数 且 1=3mod4。 

e 给 定 一 个 解 :1， 则 任何 t+14pip; 也 是 解 ， 所 以 我 们 可 以 校正 1， 使 (不 失 一 般 性 ) 
4pip; <t < 8pip2。 

. 然后 用 米 勒 - 罗 宾 方 法 检验 t+ 4pip,、 t+8pip2、 t+l2pipy ~、 t+16pip2、 t+20p1p2,"* 
的 强 伪 素性 。 再 一 次 利用 算术 级 数 中 素数 的 狄 利克 雷 定理 ， 我 们 设想 这 将 需要 大 约 
710g() ~ 710g(4 Pip)= 了 + log pi +log p;)~180 次 尝试 才能 找到 一 个 素数 。 

。 设 p 是 第 一 个 所 找到 的 ( 伪 ) 素数 ， 故 我 们 希望 《再 一 次 利用 狄 利克 雷 定理 ) 


pt+180:4pipy = 724p1p2 ~ 25285 


我 们 发 现 产 生 的 素数 比 我 们 圭 正 需要 的 要 大 一 些 ， 因 此 这 个 算法 需要 按 下 面 两 种 方法 进 
行 调 整 ， 

。 提前 尝试 弥补 ， 数 的 增 大 是 以 粗略 可 估计 的 量 增加 的 ; 

e 拒绝 仅仅 过 大 的 伪 素 数 。 这 是 必要 的 ， 因 为 素数 定理 和 狄 利克 雷 定理 的 使 用 仪 仪 是 试 

探 性 的 ， 定理 是 正确 的 ， 但 它们 并 没 真正 说 明 我 们 的 要 求 是 什么 。 

也 就 是 说 这 个 结论 仅仅 是 一 个 推测 : 

e 在 x 附近 ， 大 约 有 1 /logx 个 数 是 素数 ; 

e 在 x 附近 ， 大 约 有 1/ glN)logx 个 数 是 模 N 同 余 4 的 素数 ， 这 里 5 与 NN 互 素 。 


24.5 ”索性 证 书 


利用 Pocklington-Lehmer 准则 ， 证 明 那 些 不 具有 特殊 形式 的 数 的 素性 是 很 难 的 ， 而 形式 
古怪 的 数 往往 可 能 提供 可 容易 验证 的 素性 证 书 。 这 使 得 接收 方 不 得 不 用 适量 的 工作 来 验证 素 
性 ， 即 在 多 项 式 时 间 内 。 
备注 在 下 面 给 出 的 例子 中 ， 我 们 从 头 开 始 来 寻找 可 以 提供 素性 证 书 的 数据 。 在 这 个 精 
心 设计 的 例子 表明 ， 可 以 证 明 一 些 精 选 的 数 的 素性 ， 即 使 在 一 般 方法 失效 的 情况 下 。 
比如 ， 用 前 面 的 Lucas-Pocklington-Lehmer 定理 来 证 明 N 为 素数 ， 我 们 只 要 分 解 
N-1= 天 .以 就 足够 了 。 
e 这 里 天 的 分 解 是 完全 已 知 的 ; 
e 天 >VN ; 
。 对 每 个 整除 的 素数 94 ， 寻 找 5, ， 使 得 bs = lmodN ， 但 是 N 与 5 -1 互 素 ， 
即 gcd(b 9 -LN)=1。 
否则 ， 再 利用 第 二 种 方法 ， 仍 然 只 要 分 解 N-1=K.U 。 
。 这 里 的 分 解 是 完全 已 知 的 ， 
。 未 分 解 部 分 U 没有 小 于 等 于 B 的 素 因 子 ，B 为 某 个 界限 ; 
@ B.K> YN; 
。 对 每 个 整除 K 的 素数 g， 和 寻找 5b,， 使 得 2 ”=lmodN ， 但 是 N 与 5 -1 互 素 ， 
即 gcqd (bY? -1,N)=1; 


e 寻找 bh， 使 bh” "1 =lmodN 但 gcd( -1,N)=1。 
在 上 述 两 种 方法 中 ， 天 的 分 解 、 所 找到 的 一 系列 5 以 及 素数 g 合 在 一 起 构成 了 N 的 素性 
证 书 。 
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当然 ， 这 个 证 书 必须 包括 KK 的 分 解 中 出 现 的 小 素数 4 的 素性 证 书 ， 它 还 需要 在 这 些 证 书 
中 出 现 的 素数 的 素性 证 书 ， 等 等 。 

比如 ，N=1000000033 ， 运 用 基 为 2、3、5、7、11 的 米 勒 - 罗 宾 方 法 。 我 们 发 现 这 是 一 
个 可 能 的 素数 ， 容 易 去 掉 N -1 的 几 个 小 因子 : 

N-1=2.2.2.2.2.3.127.82021 

这 里 我 们 可 以 很 容易 地 验证 2、3 和 127 的 素性 。 假 定 我 们 用 试 除法 后 ， 发 现 U = 82021 没 有 
小 于 等 于 127 的 素 因 子 。 采 用 上 面 的 记号 ， 即 好 =127 ， 取 天 =2.2.2.2.2.3.127=12192 。 
条 件 尺 .B1548384 > VN =<31623 满足 。 

现在 我 们 对 整除 NN -1 的 素数 寻找 b， 当 然 对 剩余 部 分 U 也 要 如 此 。 希 望 N 是 素数 ， 条 
件 b*71 =1mod N 应 当 是 容易 满足 的 。 比 较 困难 的 是 条 件 ged (p29 -1,N)=1。 首 先 ，g =2 
整除 N -1， 





2%7D2 =1mod N 
3 = 1mod N 
即 2 和 3 都 不 满足 条 件 。 而 5 “= -1modN ， 因 此 6b, =5 满 足 条 件 〈 因 为 N 为 奇数 ， 如 果 
A=-1modN， 则 4-1=-2modB 且 4 必 与 3 互 素 )。 对 于 NN 一 1 的 素 因子 gq =3， 我 们 还 是 试 
一 下 =5 : 
5(ND’3 = 566663896mod N 
且 由 欧 几 里 得 算法 表明 gcd (5 -1,N)=1， 因 此 b=5。 对 于 NN-1 的 素 因 子 g =127， 
5 0 ~ 915796555 mod N 

经 验证 gcd(5W 27 -1,N)=1， 因 此 bwy =5。 

最 后 ， 因 为 我 们 用 的 是 经 校正 的 第 二 种 方法 ， 不 需要 找 妨 ， 使 BW” =1modN 但 
gcd (bt -1,N)=1。 再 一 次 用 b=5 试 验 ， 因 为 前 面 讨论 已 知 第 一 个 条 件 是 满足 的 ， 即 
Sx =1mod 和 N 。 而 由 欧 几 里 得 算法 表明 gcd (5* -LN) =1， 因 此 数据 K = 2.2.2.2.2.3.127 = 
12192 以 及 一 系列 b, =b, = bwy = bo =5 就 是 N=1000000033 的 素性 证 书 。 

备注 “一旦 给 出 这 些 信息 ， 则 所 需 做 的 所 有 验证 可 以 非常 有 效 地 完成 〈 即 在 多 项 式 时 间 
内 )。 也 就 是 说 ， 素 性 证 书 把 一 些 工作 留 给 了 观察 者 ， 但 余下 的 工作 必须 是 多 项 式 时 间 的 工 
作 ， 而 非 像 大 数 的 试 除法 那样 难以 承担 的 工作 。 

备注 “在 这 个 例子 中 ， 实 际 上 不 需要 大 量 的 工作 就 能 找到 组 成 证 书 的 那些 数据 。 但 也 存 
在 那样 的 情况 ， 需 要 大 量 的 工作 才能 找到 证 书 数据 ， 

备注 注意 在 本 例 中 ， 我 们 并 没有 关注 U = 82021 为 素数 这 个 事实 ， 仅 关心 它 没 有 小 于 
等 于 127 的 素 因 子 。 这 样 节约 了 75 次 试 除法 。 

作为 一 个 更 加 真实 的 例子 ， 我 们 来 考虑 

N=35 23 =19383245658672820642055731 
运用 米 勒 ~- 罗 宾 检 验 表 明 这 是 一 个 可 能 素数 ,我 们 仍 用 Pocklington 定理 来 给 出 它 的 素性 证 书 。 
尝试 完全 分 解 N -1 可 能 是 不 合理 的 ， 因 此 我 们 只 搜寻 10000: 以 内 的 素数 因子 ; 
N-1=2.3.5.7.53.263.6621792797417598667 
运用 基 为 2 的 米 勒 - 罗 宾 方 法 ， 我 们 在 上 式 的 最 后 一 个 数 
t=6621792797417598667 

确定 地 为 一 个 合 数 (尽管 它 没有 10000 以 内 的 素 因 子 )。 由 于 1 还 不 算 太 大 ， 可 以 有 效应 用 
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Pollard 的 Rho 方法 ， 我们 容易 发 现 〈 仅 在 592 次 循环 后 ) 1 = 906043.7308475201969 ， 容 易 
验证 (用 机 器 〉906043 为 素数 。 米 勒 - 罗 宾 的 方法 表明 :的 分 解 式 中 那个 大 因子 
&U = 7308475201969 为 一 个 可 能 素数 。 我 们 用 Pocklington 定理 来 验证 这 一 点 : 分解 u 一 1 为 
u—1=2.2.2.2.3.83.17539.104593 
而 且 这 些 因子 容易 验证 是 素数 。 为 了 证 明 NW-1 的 因子 zx 为 素数 ， 我 们 需要 验证 它 满足 
Pocklington-Lehmer 的 条 件 ， 但 2、3、5、7 均 不 能 充当 5,。 第 一 个 符合 条 件 的 b, 为 b=11， 
因为 11"=1imodu ， 且 gcd de -LO=l1。 进 一 步 ，gcd (4503 -Day=1， 并 且 
3 所 =1modu ， 所 以 b=3。 类 似 地 有 
geqd3 5 -1 人 =1 
scdG457 -=1 
ged 3 一人 =1 
gcd(3"-D/263 _LW)=1 
因此 我 们 已 验证 zx 为 素数 。 现 在 返回 来 看 N -1， 
N-1=2.3.$.7.53.263.906043.7308475201969 
而 此 时 我 们 已 经 知道 这 些 因 子 均 为 素数 。 我 们 对 六 来 运用 Pocklington-Lehmer 准则 ， 
2”” =1modN 且 gcd(2 D2? -1,N)=1， 所 以 b, =2 对 和 有 效 ， 但 它 不 能 作为 6 ，3 也 是 如 
此 。 但 我 们 发 现 5 满足 诸多 条 件 ，5”"! =lmodN 上 是 
gcd(SMHD3 1 N=1 
gcd(5 VS IN)=1 
gcd(Sw-0 7 1,N)=1 
gcd(S4D 53 -LN)=1 
gcd(SC-D1263 -1,N)=1 
gcd(SCV-D/906043 -LN)=1 
SecQ(S( 17708475201969 LN) =] 
因此 ， bs =bs =b; =bs3 = b2e3 = boo6043 = b7308475201969 =5 《按照 前 面 的 记号 ， 最 后 一 个 应 当 记 
为 入)， 故 这 些 数据 可 作为 W 的 素性 证 书 ， 证 明 N 为 一 个 素数 。 
最 后 我 们 来 给 出 一 个 例子 ， 普 通 的 方法 对 它 无 能 为 力 ; 我 们 将 寻找 一 个 大 数 NN ， 使 得 
入 -1 有 几 个 大 素数 因子 ， 这 将 保证 如 果 事 先 不 知道 这 些 央 子 的 情况 下 ， 分 解 W -1 相当 困难 ， 
我 们 将 使 用 前 面 的 素数 N ， 而 且 还 不 止 需要 一 个 大 案 数 。 同 选择 前 面 的 入 一样， 随机 选择 
一 个 数 ， 令 M =19383245658672830642055767 ， 由 米 勒 ~- 罗 宾 方 法 知道 这 是 一 个 可 能 素数 。 
在 给 出 后 面 的 例子 之 前 ， 必须 证 明 它 是 素数 ， 用 10000 以 内 的 素数 的 试 除法 我 们 发 现 : 
M—-1=2.11.41.47.307.653.2280712525657409 
令 8=10000， 将 小 因子 相 乘 并 乘 以 妨 后 ， 该 值 大 于 M 的 平方 根 。 而 且 通 过 试 除法 我 们 知道 
&= 2280712525657409 没有 小 于 有 的 素 因 子 。 我 们 发 现 24-=lmodM ， 并 且 
gcd(24 -DAM)=1， 因 此 访 =2。 进 一 步 ， 如 果 运 气 好 的 话 ， 可 以 得 到 : 
gcd(24Dm 1 MY)=1 
gcd(2M YH 1 M)=1 
gcd(2404 1 MY=1 
gcd(2% "307 -1,M)=1 
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gcd(2™ 0/653 -1,M)=1 
gcd (2 /2280712525657409 1, M) -1 

这 就 证 明 M 为 一 个 素数 。 

现在 我 们 来 构造 一 个 更 大 的 素数 。 M 和 NN 如 前 ， 我 们 来 考虑 算术 序列 : 

n=2MN+!], 4MN+], 6MN+]1, 8MN+1, :.: 
直到 一 个 数 n 满足 米 勒 - 罗 宾 条 件 ， 然 后 我 们 利用 Pocklington-Lehmer 方法 证 明 n 的 素性 。 这 
持 的 技巧 就 是 利用 的 特殊 形式 , 因为 我 们 事先 知道 a-1 有 因子 M 和 NN，, 而 且 希 望 其 他 的 因 
子 也 不 至 于 太 可 怕 。 如 果 我 们 事先 不 知道 M 和 NN 是 因子 ， 则 要 找 出 它们 是 相当 困难 的 。 我 
们 发 现 
n=2.78.M.N+1=58610793113255595010404685925189512720851752536305613 是 一 个 可 
能 素数 。 由 于 an-1=2.78.M.N， 我 们 可 以 很 容易 将 关 - 1 分解 为 素数 的 乘积 : 
-1=2.2.3.13.M.N 

而 且 我 们 很 幸运 地 发 现 2 可 作为 b,、b，、4b3、bw 和 by。 因 此 ， 这 个 数 是 素数 。 

备注 ”在 这 个 例子 中 我 们 还 发 现 2 是 模 n 的 一 个 本 原 根 。 

备注 上 述 各 步骤 的 计算 是 在 一 台 主 频 为 200MHz 的 机 器 上 用 解释 语言 Python 执行 的 ， 
并 且 所 有 指出 的 计算 几乎 在 不 易 觉察 到 的 时 间 就 完成 了 ， 由 于 是 用 解释 语言 执行 的 ， 要 比 在 
相同 机 器 条 件 下 用 完全 编译 的 语言 执行 慢 10 倍 左右 。 计 算 能 力 越 强 ， 计 算 工作 越 容易 完成 。 
男 一 方面 ， 即 使 有 一 台 很 好 的 机 器 ， 单 纯 用 穷尽 试验 方法 来 证 明 上 述 例 子 中 的 素性 是 不 可 
取 的 ， 因 为 这 个 nn 为 54 位 的 十 进 制 数 ， 故 至 少 需 要 10”/(27In10) = 105 次 试 除法 〈 这 里 除 以 
27 in10 是 用 素数 定理 所 做 的 推测 性 估计 )。 即 使 每 秒 可 做 一 万 亿 次 试 除法 , 要 做 完 上 例 中 的 
素性 证 明 所 需要 的 除法 ， 需 要 1 亿 年 。 

另外 ， 如 果 我 们 不 知道 大 数 M 和 的 信息 而 利用 Pocklington-Lehmer 方法 ， 仍 假设 每 秒 
可 进行 一 万 亿 次 试 除法 ， 要 用 除法 试验 分 解 MN = 102 也 需要 花费 1000 万 年 。 

即使 用 合理 的 古典 分 解 算 法 ， 比 如 Poliard 的 Rho 方法 ， 要 分 解 上 面 的 m -1 也 需要 很 长 
时 间 。 





二 次 筛 法 分 解 算法 是 最 基本 的 “现代 ” 因 式 分 解 方法 ， 它 的 适当 优化 甚至 可 以 与 一 些 成 
熟 的 方法 如 椭圆 曲线 分 解 或 数 域 筛 法 不 相 上 下 。 通 常 该 算法 有 一 个 概率 元 素 ， 但 一 旦 找到 了 
大 数 的 一 个 真 因子 ， 就 可 以 很 确定 地 验证 这 个 因子 的 确 是 那个 数 的 真正 的 因子 。 

二 次 得 法 是 对 随机 平方 分 解 方法 的 思想 进行 提炼 的 结果 ， 而 随机 平方 因子 分 解 方法 则 源 
自 于 费 马 的 方法 。 按 照 现在 的 标准 ， 二 次 得 法 可 以 比 得 上 椭圆 曲线 筛 法 《〈 并 且 快 一 些 )， 对 
于 超过 115 位 或 120 位 的 十 进 制 整数 ， 二 次 得 法 要 比 数 域 筛 法 慢 。 对 这 些 算 法 的 描述 还 需要 
做 一 些 必 要 的 准备 工作 。 

在 下 面 的 第 一 节 ， 首 先 介 绍 一 点 线性 代数 的 知识 一 一 高 斯 消 元 法 ， 它 在 二 次 得 法 最 原始 
形式 的 运行 中 也 是 非常 重要 的 。 


25.1 高 斯 消 元 法 


高 斯 消 元 法 是 寻找 任意 可 计算 域 上 向 量 空间 中 向 量 的 线性 相关 关系 的 一 个 有 效 算 法 。 我 
们 现在 更 感 兴趣 的 是 有 两 个 元 素 的 有 限 域 F, =Z/2 上 nn 元 组 构成 的 向 量 。 
备注 通常 这 个 算法 的 讨论 会 涉及 到 使 用 浮 点 实数 运算 的 情况 ， 在 这 种 情况 下 ， 精 度 的 
损失 问题 尤为 重要 。 但 在 我 们 现在 的 讨论 中 ， 所 计算 的 “ 数 ” 取 自 于 任意 有 限 域 ， 我 们 使 用 
无 限 精 度 ， 所 以 不 必 担 心 舍 入 误差 。 这 样 就 可 避免 在 浮 点 情况 下 过 多 地 考虑 这 类 问题 。 
我 们 需要 解决 的 问题 如 下 所 述 : 令 
Vi = Vs V2 Vn) 
V2 = (V21, V2 , V7,n) 


V3 = V315 V32."*' V3,n) 


Vm = (mb Vin2 Pan) 
为 域 上 上 元 素 的 2 元 组 ， 域 上 可 以 是 有 理 数 域 Q、 实 数 域 R、 有 限 域 F, =7Z/p 〈p 为 素数 ) 
或 其 他 域 。 尽 管 我 们 精确 地 知道 数 ， 或 者 说 数 有 无 限 的 精度 ， 我 们 仍然 要 对 它们 进行 运算 。 
这 个 假设 一 般 是 不 满足 的 ， 比 如 数值 是 来 源 于 测量 结果 的 实数 。 但 在 这 里 的 应 用 中 ， 我 们 假 
设 条 件 是 成 立 的 。 问 题 就 是 寻找 一 组 大 中 不 全 为 0 的 元 素 c,…,cw ， 使 得 

cm+…+cnvw =0 
这 里 指出 的 乘法 为 标量 乘法 c(%,xy,…,xm)= (cnycer…cez)， 并 且 右 边 的 0 为 零 向 量 
0=(0,…,0) 。 形 如 

本 

CIVI 十 十 ChVm 
的 表达 式 称 为 向 量 v; 以 c 为 系数 的 线性 组 合 ， 并 且 任 何 形 如 cv +…+cnwvw =0 《系数 不 全 为 
0 ) 的 关系 称 为 一 个 线性 相关 关系 。 问 量 的 维 数 即 为 元 组 中 的 n。 
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备注 在 基础 线性 代数 的 系统 化 发 展 中 ， 首 先 被 证 明 的 一 个 结论 就 是 ， 如果 向 量 的 个 数 
大 于 维 数 ， 则 存在 一 个 线性 相关 关系 。 我 们 将 不 直接 使 用 这 一 事实 ， 而 是 希望 验证 我 们 所 描 
述 的 算法 果真 如 同 它 所 声明 的 那样 有 效 。 

首先 ， 我 们 由 向 量 的 分 量 构造 一 个 严 x 窍 阵 ， 令 


Vl V2 Vin 
V21 VY22 Von 
M=| v1 v2 V3n 
Vml Vm2 Vmn 


然后 通过 在 该 矩阵 右边 附加 一 个 zx 闫 单位 矩阵 的 方法 构造 一 个 更 大 的 矩阵 1 ,我 们 来 看 一 
FH: 


Vi V2 … Vn 1 0 0 ...0 
Vo VD 1 Va 0 1 0 ... 0 
M = Va V2 7 V3 0 0 1 ... 0 
Va Vm Von 0 0 0 1... 1 


那个 单位 矩阵 将 保留 我 们 所 做 变换 的 轨迹 。 

这 里 合法 的 变换 称 为 初等 行 变换 ， 它 们 是 : 

e 互 换 两 行 的 位 置 ; 

。 用 非 零 常数 乘 以 某 一 行 ; 

。 从 一 行 中 减 去 另 一 行 的 倍数 。 

利用 初等 行 变换 对 1 施行 行 变 换 的 过 程 如 下 。 从 最 左边 一 列 开始 ， 如 果 其 最 顶端 元 素 为 
0 ， 但 该 列 中 有 一 些 元 素 不 为 0， 那 么 互 换行 的 位 置 使 最 顶端 元 素 为 非 零 。 用 新 的 ) 第 一 
行 的 最 左边 元 素 除 以 整 行 ， 使 最 左边 元 素 为 1。 设 在 第 ; 行 的 最 左边 元 素 为 ak ， 则 对 i>1， 
从 其 余 各 行 中 减 去 第 一 行 的 an 倍 ， 这 就 使 得 第 一 列 中 除了 最 顶端 元 素 为 1 外 ， 其 余 全 为 0。 
(如 果 最 左边 或 任意 其 他 列 全 为 0， 则 忽略 它 。) 

接 下 来 再 看 第 二 列 ， 如 果 必 要 ， 可 以 互 换 第 二 行 与 其 下 面 另 一 行 的 位 置 ， 上 的 就 是 经 调 
整 后 第 二 行 的 第 二 个 元 素 非 零 ( 第 一 行 下 面 的 各 行 中 ， 第 一 个 元 素 已 全 为 0)。 用 第 二 个 元 素 
除 以 该 行 ， 使 得 第 二 行 以 0、1 开始 。 设 在 第 二 列 中 ， 从 项 端 开始 的 第 i 个 元 素 为 wa ， 然 后 
从 所 有 其 他 各 行 中 减 去 第 二 行 的 a, 倍 (包括 顶 行 )。 

对 第 三 、 第 四 直到 第 m 列 进行 类 似 的 过 程 ， 直 到 前 m 列 中 其 余 元 素 全 为 0。 令 4 为 由 这 
一 变换 过 程 获得 的 算 阵 右边 的 新 的 mxm 和 矩阵 , 并 令 加 ,…,w 为 新 矩阵 的 n 元 组 的 m 个 行 (长 
为 n 的 行 向 量 )， 则 有 


Vl WM 
Vv w 
2 2 
A = 
Vm Wn 


如 果 m>n ， 则 至 少 有 最 后 m-n 个 w 为 零 向 量 。 比 如 w 是 长 为 n 的 零 向 量 。 即 有 
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any 了 Qam2V2 ++Qm3V3 十 … + dmvm = (0,…,0) ， 对 每 个 指标 i ， 至 少 有 一 个 a 为 非 零 ， 这 一 点 是 
相当 重要 的 。 
换 名 话说, 我 们 找到 了 向 量 v 的 一 个 线性 组 合 为 零 向 量 ( 但 线性 组 合 中 的 系数 不 全 为 0)。 


25.2 ”随机 平方 分 解 


二 次 得 法 发 展 的 第 一 阶段 就 是 随机 平方 因 式 分 解 方法 。 这 一 方法 的 思想 源 自 于 350 年 前 
费 马 所 用 的 方法 。 我 们 这 里 给 出 它 的 描述 ， 但 它 不 是 一 个 实用 的 算法 ， 因 为 我 们 没有 一 个 确 
定 的 程序 来 执行 某 些 必要 的 步 又。 但是， 这 里 的 讨论 可 以 解释 它 的 另 一 种 形式 。 

这 里 的 一 个 主要 思想 就 是 在 寻找 整数 n 的 因子 的 过 程 中 ， 如 果 x*=y*modn， 但 
x 十 ymodn ， 则 gcd(x 一 y,n) 即 为 4 的 一 个 真 因子 。 实 际 上 ， 这 里 的 假设 就 是 n 整除 
(x 一 yx+y)， 但 不 能 整除 x 一 y 也 不 能 整除 x+ y。 也 就 是 说 整除 两 个 因子 的 乘积 ,但 不 
能 整除 任何 一 个 因子 。 因 此 ， gcd(x 一 y,n) zn 是 gcd(x+y,n)zn。 然 而 这 两 个 最 大 公 因 子 中 
没有 一 个 可 能 是 1 和 nn。 因 此 , 问题 就 转化 为 对 给 定 的 x， 如何 系统 有 效 地 寻找 这 样 的 x 和 y。 

我 们 来 看 一 下 同 余 式 x* =y* modn ，x#+tymodn 成 立 的 机 会 很 大 。 设 是 能 整除 的 
不 同 奇 素 数 的 个 数 ， 并 假设 为 奇数 (因为 我 们 可 以 很 容易 地 检验 并 去 掉 因 子 2)。 这 样 我 们 
声称 : 对 一 个 平方 b=x* modn ， 存 在 2* 个 不 同 的 模 n 的 平方 根 5。 实 际 上 ， 令 


n= pr'p> ‘pe 
则 单个 同 余 式 x? =bmodn 就 等 价 于 《由 孙子 定理 ) 如 下 大 个 类 似 同 余 式 的 方程 组 ; 
x =bmodp'” 


x* =bmod pt 
令 +ta 是 b 模 nn 的 平方 根 ， 则 同 余 方 程 组 又 等 价 于 ，; 


x=+tamod pr 


x = +tamod pr 
这 里 很 重要 的 一 点 就 是 + 可 以 互相 独立 地 选择 ， 即 因为 对 +t 分别 有 个 不 同 的 选择 ， 故 有 2* 
个 不 同 的 同 余 方 程 组 ， 而 由 孙子 定理 可 知 每 一 个 都 有 一 个 模 n 的 解 。 在 2* 个 解 中 仅 有 2 个 是 
显然 的 解 tq， 因 此 两 个 解 x 和 yy 恰好 满足 同 余 式 x =+ymodn 的 概率 仅 为 2/2* 。 

因此 ， 问 题 转化 为 寻找 足够 的 数 对 x 和 yy 满足 x =y modn， 以 使 某 对 x0,yo 满足 
x0 = yo modn 但 ++yo modn 的 概率 足够 高 。 这 一 思想 下 面 还 要 展开 描述 。 


25.3 ”Dixon 算法 





二 次 得 法 最 简单 的 应 用 形式 就 是 Dixon 算法 ， 我 们 给 出 该 算法 的 简要 描述 。 这 里 还 需要 
引入 因子 基 的 概念 ， 它 与 一 些 问 题 有 关 。 

因子 基 就 是 前 :个 素数 的 集合 S = {pi, py,…,p,}〈( 即 pi =2， p=3， 等 等 ) (如 何 选取 
适当 的 1 将 在 下 面 讨论 )。 我 们 选取 整数 a,a,,… 并 用 模 n 约 简 ， 令 b, = az%m 。 我 们 要 求 每 个 
4 的 出 现 是 关于 因子 基 S 平 滑 的 ， 即 要 求 b, 是 p, 平 滑 的 。 然 后 找 出 一 个 6 的 子 集 ， 其 元 素 之 
积 为 ZZ 中 的 完全 平方 。 这 一 步 又 按 如 下 方式 进行 ， 将 4b 分解 为 
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1 
b;= [I pr 
j=1 


假设 有 t+1 个 满足 b =a?%n 的 a,， 且 4 的 因子 全 在 S 中。 令 y 为 了 RY 中 的 向 量 ， 它 的 各 个 分 
量 由 忆 的 素 因 子 分 解 中 指数 模 2 后 构成 
yy = (en %2, ei%2, es%2,.…, e112) 
因为 在 t 维 空间 中 有 t+1 个 这 样 的 向 量 ， 它 们 在 F2 上 是 线性 相关 的 。 即 存在 c1,…,c, ， 使 
cvit.+cmv, =(0,.…,0) e Fs! 
利用 高 斯 消 元 法 来 寻找 这 样 的 关系 ， 则 有 
8+1 1+1( 所 t i+l :Deey 
fs -11 -DT 


i=l \ j=l j= i=1 


它 有 偶 指 数 ， 所 以 是 一 个 整数 的 平方 。 


| 


Vee 
这 里 , 到 x= 耻 a y= 了 
j=1 


i=] 


y) 


/2 
o 我 们 的 讨论 表明 x =y modn.。 因此 ， 假设 n 


真 的 是 一 个 合 数 〔 非 素数 方 昭 )， 并 假设 所 有 的 选择 都 是 充分 “随机 ”， 那么 我 们 就 有 50% 的 
可 能 得 到 1< gcd(x-y,n)<n， 即 效 得 n 的 一 个 真 因 子 。 

如 果 很 不 幸 地 得 到 x=+tymodn ， 则 得 不 到 的 真 因子 。 这 种 情况 下 ， 重 新 计算 一 个 或 
多 个 新 的 b= a?%n ， 然 后 重复 上 述 高 斯 消 元 法 。 

备注 根据 向 量 空间 Fy 上 更 加 详细 的 讨论 ， 很 明显 在 向 量 v, 中 存在 儿 个 线性 相关 关系 ， 
那么 在 这 些 关系 中 至 少 有 一 个 会 产生 xz+ymodn 的 可 能 性 就 会 很 大 。 

问题 被 转化 为 两 件 事情 : 一 是 适当 选取 因子 基 S = {pi, p,,…, pi} 中 素数 的 个 数 :， 二 是 
有 效 地 选择 a , 使 5 = a? %n 的 素 因 子 分 解 中 的 素 因 子 属于 S$。 Dixon 算法 中 a 是 随机 选取 的 ， 
并 且 用 S 中 的 素数 做 试 除 法 , 检验 b = a?%n 是 否 为 P 平滑 的 。 这 就 需要 做 ! 阶 次 试 除法 。 如 
果 t 可 能 小 ， 这 种 检验 还 不 是 太 无 效 。 如 果 b, = a?%n 不 是 p, 平滑 的 ， 只 要 拒绝 这 个 a,， 重 
新 选择 一 个 。 这 就 是 Dixon 算法 的 基本 形式 ， 在 我 们 给 出 例子 之 前 对 它 做 一 点 改进 。 

备注 “对 于 一 个 较 小 的 界 召 ， 满 足 2 乏 过 有 的 数 训 中 有 一 部 分 是 P, 平滑 的 ， 这 从 直觉 上 
是 显然 的 ， 而 且 也 可 以 证 明 。 但 是 ， 一 方面 ， 如 果 B 太 小 的 话 ， 将 需要 花费 很 长 时 间 去 寻找 
满足 b= qa?%n 是 8 平滑 的 随机 a,s 。 因 此 , 我 们 需要 这 样 一 种 机 制 , 它 能 以 某 种 方式 选择 a ， 
使 b = a?%n 相对 小 。 最 有 效 的 机 制 就 是 目前 已 知 的 二 次 得法， 稍 后 给 出 。 

备注 ”避免 素数 方才 ， 如 果 辜 巧 n 是 菜 个 ( 奇 ) 素数 的 方 寨 ， 这 个 方法 将 完全 失效 。 
为 利用 享 泽 尔 引 理 可 证 明 ， 最 多 存在 两 个 模 n 的 平方 根 。 因 此 ,不 仅 要 用 米 勒 - 罗 宾 检 验 保证 
nn 是 一 个 合 数 ， 而 且 要 进行 额外 的 检验 以 保证 n 不 是 一 个 素数 的 方 帘 。 当 然 应 当 有 特殊 的 方 
法 来 分 解 已 知 是 一 个 素数 方 容 的 大 整数 。 





备注 对 给 定 的 x，! 最 优 的 选择 是 大 约 1=elM"Vnm”， 这 来 自 于 有 关 VA 附近 整数 平滑 


性 的 更 加 详细 的 信息 。 由 + 的 估计 值 ， 以 及 将 筛 法 代替 试 除 法 作为 二 次 第 法 算法 中 平滑 性 检 
验 的 方法 ， 给 出 了 一 个 推测 性 的 运行 时 间 估 计 为 
Oe to Vinn Vininn ) 
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更 进一步 ， 这 个 运行 时 间 估 计 独 立 于 素数 因子 的 大 小 。 
25.4 ”非得 的 二 次 筛 法 


二 次 筛 法 的 第 一 个 版 本 实际 上 并 没有 像 其 名 字 那 样 的 筛 的 含义 ， 稍 后 我 们 会 给 出 解释 。 
但 它 利 用 了 a 选择 的 最 优化 方法 ， 使 这 种 形式 可 用 。 与 Dixon 一 样 ， 希 望 在 数 对 (qj,b,) 的 选 
取 上 更 聪明 些 ， 并 且 用 两 种 方法 对 因子 基 S = {2,3,…,p,} 做 了 改进 。 

假定 我 们 试图 分 解 整数 着， 并 选取 了 一 个 因子 基 8 = {2,3,5,7,11,…, p,} ， 选 取 的 a 将 保证 
它 刚好 大 于 的 平方 根 ， 那 么 对 于 大 于 na 的 a， 取 b=a?%n 。 同 在 任何 随机 平方 分 解 方法 
中 一 样 ， 如 果 六 是 $ 平 滑 的 ， 我 们 接受 数 对 (a,5) ， 否 则 就 抛弃 它 。 

备注 ”如果 a 充 分 接近 n 的 平方 根 ， 则 相应 的 5 可 以 用 特殊 的 方法 计算 。 令 
m=floor(Yn)， 即 不 超过 Vn 的 最 大 整数 ，m :</n ， 则 

b=((a—m+m) -n=(a -my +2.(a -mm+t+m —n 

bp%n=(a—m) +2. (a -mm+t+m: —n, a 一 mm 与 m 相 比 足 够 小 。 
， 备注 ”如果 用 特殊 方法 计算 2 获得 了 较 好 的 效率 ， 比 如 使 训 可 能 是 负 的 ， 则 -1 应 当 包 含 
在 因子 基 S 中 。 

例子 ”作为 一 个 分 解 较 小 整数 的 例子 ， 我 们 用 这 一 方法 来 分 解 xn=143 ， 因 子 基 则 为 
B={2,3,5} 。 我 们 应 当 以 正好 大 于 nn 的 平方 根 的 整数 开始 ， 所 以 取 a =12 。 然 后 计算 
bi =af%143=1， 我 们 的 运气 还 不 错 : 这 个 值 本 身 就 是 B 平滑 的 且 是 一 个 平方 。 因 此 ， 取 
x=q1=12，y=1 (4 的 正平 方 根 )， 有 关系 式 12? =1> mod143 。 计 算 gcda(12-1 143) 和 
gcd(2+1 143) ， 前 面 一 个 最 大 公 因 子 为 11， 后 面 一 个 为 13。 所 以 我 们 就 找到 了 143 的 真 因 
子 。 

例子 ”作为 男 一 个 分 解 较 小 整数 的 例子 ， 我 们 来 分 解 n=1739=37.47 ， 因 子 基 选 择 为 
B={2,3,5} 。 同 样 ， 我 们 以 正好 大 于 的 平方 根 的 整数 即 42 开始 。b = of%1739 =25 是 B8 平 
滑 的 且 是 一 个 平方 。 因 此 ， 计算 gcd(42-$, 1739)=37 且 gcd(42+5, 1739) = 47 ， 所 以 就 找到 
了 1739 的 真 内 子 。 

例子 ”作为 一 个 选择 因子 基 问 题 的 例子 ， 我 们 来 分 解 n=3071=37.83 ， 因 子 基 为 
B= {2,3,5} 。 我 们 以 正好 大 于 V3071 的 整数 56 开始 ,但 第 一 个 得 到 的 B 平 滑 的 平方 是 a = 96， 
旦 b=af%3071=3 。 我 们 验证 接 下 来 一 个 数 不 是 B 平滑 的 ， 直 到 ww =125 ， 且 
bs =Q2%3071= 270 。 接 下 来 是 ay =157 ， 且 5b, = a2%3071=81， 和 恰好 这 是 一 个 平方 ， 那么 我 
们 就 可 以 终止 算法 ， 并 计算 gcd(157-9, 3071)=37 和 gcd(157+9, 3071)=83 。 这 里 的 问题 是 
我 们 大 约 计算 了 100 个 平方 与 模 3071 约 简 ， 才 找到 了 因子 。 这 比试 除法 还 是 要 快 一 些 。 

备注 ”因为 a 的 值 与 n 的 平方 根 相 比较 大 ， 我 们 可 以 修改 算法 以 约 简 模 n 。 

例子 ”用 稍 大 一 点 的 因子 基 来 分 解 n=3071=37.83 ，B={2,3,5,7} 。 同 前 面 一 样 ， 我 们 
用 a=56 开始 ， 第 一 个 8 平滑 的 情况 是 a, =96， 它 比 初始 值 56 大 得 多 ， 所 以 我 们 不 能 仅 计 
算 qa-55， 而 还 应 该 计算 3071 约 简 。 实 际 上 ，a, =97 就 给 出 了 一 个 完全 平方 

b, = az9%3071=196 =14? ， 

因此 我 们 找到 了 真 因子 gcd(97 -14, 307D = 83 和 gcd(97+14, 3071) = 37 。 这 里 的 步骤 也 太 多 
了 。 

例子 ”我们 再 来 用 更 大 一 点 的 因子 基 有 8 = {f2,3,5,7,11 来 分 解 n=3071=37.83 。 仍 然 从 
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a=56 开始, 第 -个 中 平滑 的 情况 是 wm = 79， 这 个 值 已 经 比 初始 值 大 了 不 少 ,并 且 预 示 不 妙 ， 
因为 我 们 正在 花费 比试 除法 所 需 时 间 还 要 多 的 时 间 。 
例子 ”分解 n=8383=83.101， 我们 从 a=92 开始 ， 由 于 92?%8383 = 81 已 经 是 一 个 平方 ， 
所 以 我 们 就 已 经 找到 了 因子 gcd(92 -9, 8383) =83 和 gcd(92+ 9, 8383) = 101 。 
例子 ”用 因子 基 B= {2,3,5,7,11} 来 分 解 n=66887 = 211.317 。 我 们 以 a=259 开始 ， 直 到 
al =368 才 发 现 平滑 的 情况 ， 这 个 值 已 经 比 66887 的 平方 根 大 了 不 少 ， 我 们 不 能 用 更 简单 的 
形式 了 ， 不 过 我 们 可 以 计算 : . 
bl = a %66887 =1650=2.3.5?.7°.11 
下 -个 平滑 的 情况 为 =382， 且 
b, = a %66887 =12150=2.35.52.70.110 
再 下 来 的 一 个 平滑 的 情况 为 = 697， 且 
b; = ai %66887 = 17600=25.30.S$2.70.11 
这 里 有 一 个 捷径 ， 因 为 我 们 发 现 相 应 的 指数 向 量 (1,1,2,0,1) 、(1,5,2,0,0) 与 (6,0,2,0.0 的 和 为 
(8,6,6,0,2) ， 每 个 分 量 均 为 偶数 。 因 此 对 每 个 分 量 除 以 2 得 到 (4,3,3,0,1) ， 取 
y=24.33.53.7°.111%66887 = 58904 
焉 取 x 为 a :a,:a3%n ， 即 
x= V1650.12150.17600%66887 = 58904 
因为 x=y， 我 们 自 叹 运 气 不 佳 。 继 续 执行 算法 ， 我 们 会 发 现 更 多 B8 平 滑 的 值 a*%n， 但 我 们 
花费 的 时 间 已 经 远 远 超过 试 除法 所 需要 的 时 间 。 
例子 ” 取 因 子 基 为 B= {2,3,5,7,11} ， 我们 来 分 解 n= 2043221=1013.2017 。 我 们 找到 如 下 
一 些 平滑 的 结果 : 





1439*%2043221 = 27500 =22 .30.$: .79 .1 
2878?%2043221= 110000 = 24.30.54.,79.11 
31977%2043221 = 4704=25.31.50.72.110 
3199?2%2043221=17496 =22.37.50.70.118 
32532%2043221 = 365904 =24.33 .50 .71.11 
同样 ， 我 们 的 选择 排除 了 利用 更 简单 方法 的 可 能 。 注 意 到 前 两 个 指数 向 量 的 和 向 量 的 每 个 分 
量 均 为 偶数 ， 但 同 前 一 个 例子 一 样 ， 不 幸 的 是 x = y 。 我 们 还 发 现 第 三 和 第 四 个 指数 向 量 的 
和 亦 为 偶数 分 量 的 向 量 ， 即 
(5,1,0,2,0) + (3,7,0,0,0) = (8,8,0,2,0) 
所 以 用 向 量 中 指数 的 一 半 ， 我 们 取 
y=24.34.50.7!.11°%2043221 = 9072 
再 取 x 为 对 应 的 a 和 a 的 乘积 ; 
x = (3197.3199)%62043221 =:11098 
然后 我 们 计算 最 大 公 因 子 : 
gcd(x— y,n)= gcd(11098- 9072, 2043221) = 1013 
gcd(x+ y,n)= gcd(11098+9072, 2043221) = 2017 
这 还 是 比试 除法 要 慢 。 因 为 这 个 nn 较 小 ， 且 我 们 选取 的 因子 茜 也 较 小 。 
另外 注意 到 ， 如 果 我 们 能 够 保持 a 非常 接近 的 平方 根 ， 则 对 一 个 可 以 整除 某 个 5 的 素 
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数 p， 刀 =nmodp。 也 就 是 说 ， 这 种 情况 仅 对 p 出 现 ， 使 n 是 模 p 的 平方 根 。 通 过 二 次 互 
反 律 , 在 任意 给 定 范 围 内 约 有 半数 的 素数 。 办 此 , 对 固定 的 ， 肚子 基 仅 需 包 全 满 是 [ =1 


2 
的 素数 P 。 在 分 解 较 大 的 数 时 ， 这 种 方法 可 以 极 大 地 减少 计算 量 ， 但 在 整数 较 小 的 例子 中 我 
们 无 法 利用 它 的 优势 。 
例子 ”分解 n=20000900009 =100003.200003 ， 我 们 希望 利用 接近 nn 的 平方 根 的 a， 这 
样 就 可 以 在 一 个 因子 基 中 省 略 素数 p ， 如 果 n 是 模 p 的 非 平方 。 在 本 例 中 ，n%3 =2 ， 是 模 3 
的 非 平 方 ， 所 以 可 经 略 去 3。n%7 =6， 它 不 是 模 7 的 平方 ，n%11= 2， 也 不 是 模 11 的 平方 ; 
n%23 =5 ， 也 不 是 模 23 的 平方 。 因 此 ， 如 果 我 们 已 经 准备 用 因子 基 
B = {2,3,5,7,11,13,17,19,23,29} 
那么 此 时 可 以 将 因子 基 简 化 为 B= {2,5,13,17,19,29} ,实际 上 , 对 a=141427、145023、150003、 
167565 和 178547， 我 们 得 到 了 平滑 的 = a*%n ， 而 且 
1500032%62000090009 = 2500000000 = 50000? 
已 经 是 一 个 平方 ， 那 么 只 需要 计算 最 大 公 因子 就 行 了 : 
gced(150003- 50000, 20000900009) =100003 
gcd(150003+50000, 20000900009) = 200003 
这 就 得 到 了 两 个 真 因 子 。 


25.5 ”二 次 筛 法 


二 次 得 法 的 这 个 精炼 形式 是 名 符 其 实 的 筛 法 ， 主 要 体现 在 对 的 选择 上 。 当 被 分 解 的 数 
很 大 时 这 是 很 有 价值 的 。 

所 有 的 假设 同上 一 节 。 首先 我 们 必须 解释 促使 得 法 产生 的 基本 机 制 ， 筛 法 本 身 稍 后 描述 。 
注意 到 ， 如 果 p 是 因子 基 S 中 的 奇 素数 ， 并 且 对 某 个 x ， 疡 整除 g(x) ， 则 对 每 个 整数 !，p 
也 整除 g(x +1p)。 因 此 ， 如 果 让 7 变化 ,我们 可 以 由 二 次 方程 q(x) =0modp 的 一 个 或 两 个 不 
同 的 解 x 得 到 其 他 解 的 两 个 序列 。 

筛 法 描述 如 下 。 对 一 个 大 数 M， 我 们 构造 一 个 以 x 为 下 标的 数组 4，-M 过 x 和 AM 。 数 组 
的 第 x 个 值 初始 化 为 floor(lg|gq(x)), 这 里 的 lg 为 以 2 为 底 的 对 数 ，floor(?) 是 不 超过 上 的 最 大 
整数 。 令 x,x, 是 方程 g(x) = 0modp 的 两 个 解 ，p 是 因子 林 S5S 中 的 奇 素数 。 

现在 我 们 来 做 得 法 :对 x=x modp 或 x=xsmodp 的 数组 4 的 那些 值 4[x], 从 这 些 4[x] 
中 减 去 fioordg p) 。 对 因子 基 S 中 的 每 个 奇 素数 ， 重 复 做 这 一 过 程 。 做 完 这 一 过 程 后 ， 数 组 
中 值 接近 0 的 那些 4[x] 最 可 能 是 P, 平滑 的 。 这 可 以 用 试 除法 分 解 q(x) 来 验证 。 

备注 “这 里 必须 考虑 舍 入 误差 ， 但 与 椭圆 曲线 算法 的 成 熟 应 用 相 比 ， 二 次 筛 法 不 需要 太 
高 的 精度 。 


25.6 ”其 他 改进 


对 前 面 所 述 的 方法 做 进一步 的 改进 和 优化 是 可 能 的 ， 但 要 解释 这 样 做 的 理由 却 是 困难 
的 。 
备注 ”我们 来 看 一 下 对 给 定 的 整数 n，! 的 最 优选 择 大 约 为 


f= O(ei "ninn) 
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这 个 估计 来 自 于 有 关 nm 附近 整数 平滑 性 的 详细 信息 。 在 二 次 第 法 算法 中 ， 用 筛 法 代替 
试 除 法 来 检验 平滑 性 ， 这 给 出 了 运行 时 间 的 估计 : 
rt ]] 一 OUetreG)Vmnymmn) 
7， 


并 且 这 个 时 间 估 计 独 立 于 素 因 子 的 大 小 。 
备注 “多重 二 次 多 项 式 得 法 使 用 了 几 个 二 次 多 项 式 ， 而 不 是 上 述 方法 中 的 一 个 多 项 式 。 
这 降低 了 第 选 的 时 间 间 隔 。 渐 近 的 运行 时 间 估 计 仍 为 
二 = Ole innVininn ) 


这 似乎 是 许多 实现 中 所 用 的 形式 。 

备注 “二 次 筛 法 特别 适合 在 多 重 形式 中 做 并 行 处 理 ; 每 个 处 理 器 使 用 一 个 不 同 的 二 次 多 
项 式 ， 并 且 只 将 合适 的 数 对 ww 和 访 报 告 给 中 央 处 理 器 。 在 足够 多 的 wa 和 4b, 找到 后 ， 中 央 处 理 
器 可 以 求解 x，y。 





尽管 我 们 已 经 习惯 于 把 有 理 数 域 、 实 数 域 和 复数 域 当 作 “ 自 然 的 ” 数 的 集合 ， 但 非常 重 
要 的 一 点 是 我 们 应 认识 到 还 有 许多 其 他 重要 的 域 。 这 也 许 是 我 们 不 希望 看 到 的 ， 的 确 存在 许 
多 有 限 域 ， 比 如 对 一 个 素数 p ， 商 环 Z/p 就 是 有 p 个 元 素 的 域 。 

在 我 们 看 到 ZZ/p 为 域 的 证 明之 后 ， 这 应 当 就 不 那么 让 人 惊讶 了 : 我 们 已 经 知道 Z/p 是 
一 个 有 单位 元 的 交换 环 ， 并 且 是 由 理想 pZ 形成 的 世 的 商 环 。 所 以 只 需要 验证 每 个 非 零 元 素 
有 一 个 乘法 逆 元 即 可 。 令 xeZ/P 为 非 零 元 素 ， 即 对 某 个 不 被 己 整 除 的 整数 ，，x=y+z2Z。 
那么 由 欧 几 里 得 算法 ， 存 在 整数 s,:， 使 

sy+tp= gcd(y, p)}=1 
这 样 就 有 sy =1mod p 。 因 此 s+ pzZ 就 是 x=y+ pz 的 乘法 逆 元 。 即 任何 非 零 元 素 都 有 一 个 乘 
法 逆 元 ， 所 以 Z/p 为 域 。 

特别 地 ， 我 们 注意 到 对 每 个 素数 p ， 的 确 存 在 包含 p 个 元 素 的 有 限 域 。 

另 一 方面 ， 比 如 ， 不 存在 包含 6 个 或 10 个 元 素 的 有 限 域 。 为 什么 ? 

尽管 已 经 证 明 ， 存 在 包含 素数 方 寨 个 元 素 的 有 限 域 。 比 如 ，9 个 元 素 的 有 限 域 ，128 个 
元 素 的 有 限 域 ， 但 还 需要 做 一 些 准备 才能 找 出 它们 。 

最 简单 的 有 限 域 就 是 有 P 个 元 素 的 域 Zp，P 为 素数 。 由 于 许多 不 同 的 原因 ， 我 们 需要 
比 这 更 多 的 域 。 一 个 直接 的 原因 是 出 于 机 器 实现 的 考虑 ， 使 用 特征 为 2 的 域 是 最 方便 的 。 在 
Z/P 这 样 的 域 中 ， 只 有 Z/2 满 足 这 个 条 件 。 同 时 ， 由 于 别 的 原因 ， 我 们 希望 域 特 别 大 。 如 
果 我 们 仅 局 限于 Z/pP 上 ， 就 不 可 能 同时 满足 这 两 方面 的 条 件 。 


26.1 有 限 域 的 构造 


有 限 域 的 构造 以 及 有 限 域 上 的 计算 均 建立 在 多 项 式 计算 的 基础 之 上 。 为 了 描述 简便 ， 记 
F, 为 有 9g 个 元 素 的 有 限 域 ， 当 然 对 一 个 素数 p ,Z/p = 了 。 。 另 外 一 个 记号 也 比较 常见 ， 
GF(q) = F， 这 里 的 GF 代表 伽 罗 瓦 域 。 

对 一 个 多 项 式 P (不 必 是 不 可 约 的 ) 以 及 其 他 两 个 多 项 式 f 和 g, 所 有 的 系数 均 在 F, 中， 
如 果 P|f-g， 则 记 了 =gmodP 。 这 与 整数 的 同 余 完 全 类 似 ， 由 此 还 可 定义 : 

F,[x]/P = { 模 P 同 余 类 } 

这 里 一 个 多 项 式 f 的 模 P 同 余 类 为 1 = {geE,fx]:g = /modP}， 通 常 将 同 余 类 仍 记 为 。 

一 个 多 项 式 f 是 被 模 P 约 简 的 ， 如 果 deg /< degP 。 用 多 项 式 环 F,[x] 上 的 除法 算法 ， 
F,[*] 中 的 每 个 多 项 式 均 模 P 等 于 一 个 模 P 约 简 的 多 项 式 。 实 际 上 ， 给 定 一 个 / ， 由 带 余 除 
法 可 以 得 到 多 项 式 @ 和 R， 且 deg R< degP， 使 得 

f=O:P+R 

即 f-R=0Q.:P， 我 们 称 f =RmodP。 


322 区 26 得 


命题 “两 个 模 P 约 简 的 多 项 式 了 和 gg 是 模 P 相 等 的 ， 当 且 仅 当 它们 相等 (在 F,[x] 上 )。 

定理 ”对 一 个 次 数 为 的 不 可 约 多 项 式 P ， 多 项 式 模 P 的 环 F,[lx]jmodP=F,[x]/P 为 一 
个 域 ， 且 有 p" 个 元 素 。 元 素 x-mod-P 是 方程 P(x)=0modP 在 F,[x]/P 中 的 一 个 根 。 

通常 在 F,[x]/P 上， 希望 用 约 简 的 形式 表示 任何 元 素 ， 因 为 那样 的 话 就 容易 验证 两 个 元 
素 是 否 相 等 : 只 需要 比较 系数 。 

设 大 是 一 个 域 ， 另 一 个 域 玉 包含 上 ， 称 天 为 天 的 一 个 扩 域 ， 而 磊 则 称 为 天 的 子 域 。 大 的 
扩 域 天 的 次 数 就 是 用 来 构造 入 =k[x]/P 时 所 用 多 项 式 P 的 次 数 。 

备注 ”这 里 ， 考 虑 a =x-mod-P 了 为 方程 Poo = 0modP 的 一 个 根 ， 我 们 称 给 添加 
P(x)=0 的 一 个 根 ， 记 为 kfa]=K{x]/P。 
习题 


26.1.01 证 明 不 存在 元 素 xeF,， 使 x” =1， 除 非 x=1。 
26.1.02 验证 x*+x+1 是 玉 [x] 上 惟一 的 不 可 约 二 次 多 项 式 。 
26.1.03 验证 x+x+1 和 +x*+1 是 [x] 上 的 两 个 不 可 约 三 次 多 项 式 。 
26.1.04 验证 x +x+1 是 [x] 上 不 可 约 。 
26.1.05 验证 在 F,[x] 中 ， 我 们 有 特殊 的 等 式 (xh + 二 Xx) = 上 +X 
26.1.06 验证 对 素数 p ， 在 F,[x] 上 有 特殊 的 等 式 

(2 十， 十 X)P = 


26.2 域 扩张 的 例子 


本 节 我 们 将 利用 上 一 节 的 理论 ， 给 出 几 个 具体 的 域 扩张 的 例子 。 

例子 ”我们 来 看 一 下 , 在 不 用 假设 已 经 存在 -- 个 神秘 的 元 素 V-1 的 情况 下 ， 如 何 构造 复 
数 域 C ， 作 为 实数 域 R 的 一 个 域 扩张 。 

首先 我 们 证 明 x?*+le R[x] 是 不 可 约 的 。 因 为 任何 实数 的 平方 都 是 非 负 的 ， 因 此 方程 
x+1=0 在 及 中 没有 根 。 又 因为 x* +1e R[x] 是 二 次 的 ， 如 果 它 能 在 R[x]1 中 分 解 ， 则 必 分 解 
为 两 个 线性 因子 的 乘积 (因为 乘积 的 次 数 等 于 因子 次 数 的 和 )。 但 是 如 果 x*+1 有 一 个 线性 因 
子 ， 则 x?+1=0 将 在 R 中 有 一 个 根 ， 而 事实 上 它 没 有 根 。 因 此 x? +1 在 多 项 式 环 R[x] 中 是 不 
可 约 的 。 

其 次 ， 由 前 面 的 讨论 已 知 ，R[xzlmod7 是 一 个 域 ， 而 且 刀 =-lmodxz +l， 故 
x-mod--(x? +]) 就 是 V-1 o 

我 们 也 已 证 明 , 域 扩张 的 任何 元 素 都 可 惟一 地 表示 为 =a+pa 的 形式 , 这 里 的 a,bp 均 
属于 R 。 当 然 ， 我 们 通常 记 x 在 扩 域 中 的 像 为 i ， 而 不 是 w 。 

例子 ”我们 给 域 Z1S 上 添加 一 个 2 的 平方 根 。 首 先 注意 到 在 ZZ/5 中 不 存在 a 使 a* =5， 
因此 二 次 多 项 式 x? ~2 在 /5[x] 中 不 能 分 解 (因为 如 果 能 够 分 解 , 则 就 会 在 Z/5 中 有 一 个 根 ， 
而 事实 上 没有 )， 那 么 Z/5[x] modx? -2 为 一 个 域 。 在 其 中 我 们 已 把 Z/5 视 为 子 域 ， 并且 
xz =2modx? -2，, 所 以 x-mod-(x? -2) 就 是 2 的 平方 根 .当然 , 通常 将 这 个 平方 根 记 为 V2 ， 
而 不 是 er 。 

备注 ”这 种 构造 可 能 被 认为 有 些 突然 ， 因 为 构造 过 程 中 “构造 ”的 多 项 式 的 根 似 乎 不 像 
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我 们 平常 理解 的 根 那样 具体 。 但 实际 上 ， 这 种 构造 仍 是 相当 直接 的 。 

例子 “我们 给 Z/7 添加 一 个 2 的 立方 根 , 首先 注意 到 Z/7 中 不 存在 2 的 立方 根 (可 用 穷 
举 法 验证 , 或 者 注意 Z/7* 是 阶 为 6 的 循环 群 ， 由 我 们 对 循环 乙 /7 的 了 解 ， 只 有 两 个 三 次 车 ， 
它们 是 +1 )， 因 此 2 不 是 立方 根 。 

因此 三 次 多 项 式 x? -2 在 Z/7[x] 中 不 可 约 ， 如 果 它 可 约 ， 则 它 必须 有 一 个 线性 因子 ， 也 
就 是 说 x -2=0 在 Z/7 中 必须 有 一 个 根 ， 事 实 上 它 没有 根 。 

由 此 ，(Z/7)[x]-mod-(x’ -2) 是 一 个 域 ， 且 x-mod-(x? -2) 为 2 的 一 个 立方 根 。Z/7 
的 域 扩 张 中 的 每 个 元 素 8 都 可 以 惟一 地 表示 为 

P=ao+ac +aa’ 


这 里 的 w 是 x-mod-(x’ -2) 的 缩写 。 
习题 


26.2.01 Z/7 中 不 存在 2 的 三 次 方 根 ，Z/17 中 也 不 存在 3 的 平方 根 。 因此 多 项 式 x? -3 在 
Fj[x] 中 是 不 可 约 的 ， 构 造 Fs 作为 瑟 [x]/(x? -3) 的 模型 。 在 Fs 中 找 出 一 个 2 的 立方 根 。 

26.2.02 Z/103 中 不 存在 2 的 三 次 方 根 , 2/103 中 也 不 存在 3 的 平方 根 , 因 此 多 项 式 x? -3 
在 Fos[x] 中 是 不 可 约 的 ， 构 造 下 ,; 作为 Fos[x]/(x? -3) 的 模型 。 在 下 。* 中 找 出 一 个 2 的 立方 
根 。 

26.2.03 利用 模型 Fo = 户 [x]/(x* 一 3)， 令 a 为 xmod(x? -3)，Q 是 否 为 Re 的 一 个 立方 ? 
Q+1 是 否 也 为 一 个 立方 ? 

26.2.04 利用 模型 Foo = Fj[x]/(x? -3)， 令 w 为 xmod(x? -3)， 在 Fs 中 找 出 一 个 & 的 五 次 
根 。 

26.2.05 令 P(x)=x*-3， 不 存在 3 模 5 的 平方 根 所 以 这 个 多 项 式 在 Z/5 中 没有 根 ， 因 
此 它 在 Fs[x] 中 不 可 约 。 令 K= Fs[x]/ P(x)， 并 令 a 为 xmod P(x), 则 a 是 的 扩 域 中 3 的 一 
个 平方 根 。 在 居中 找 出 x*+x+1 的 一 个 根 。 

26.2.06 设 天 同 前 ， 在 天 中 找 出 刀 +1=0 的 一 个 根 。 

26.2.07 令 P(x)=x?+1， 不 存在 -1 模 7 的 平方 根 ， 所 以 这 个 多 项 式 在 乙 17 中 没有 根 ， 
因此 它 在 乙 /7[z] 中 不 可 约 。 令 玉 = [x]/P(x)， 并 令 @ 为 xmod P(x)， 则 a 是 Fy 的 扩 域 中 -1 
的 一 个 平方 根 。 求 x* 一 5=0 在 中 的 一 个 根 。 

26.2.08 设 天 同 前 ， 在 天 中 找 出 xz 一 x*+1=0 的 一 个 根 。( 这 个 多 项 式 是 48 阶 分 圆 多 项 
式 ) 


26.3 模 己 加 法 
有 限 域 上 的 加 法 就 是 多 项 式 的 加 法 ， 它 本 身 在 结构 上 等 同 于 向 量 的 加 法 。 
F,[x]/P 上 的 加 法 很 简单 ， 只 需要 将 多 项 式 的 对 应 系数 相 加 即 可 。 由 于 多 项 式 的 和 的 次 
数 小 于 等 于 多 项 式 的 最 大 次 数 ， 因 此 两 个 约 简 多 项 式 的 和 仍 是 约 简 的 。 
比如 在 包 [x]Ax*+x+ 了 中 ， 将 站 +xX+1 与 x*+x+1 相 加 将 得 到 : 
( 妇 +x+1HCX2 x+1I)x +x +2x+2=0 +x modx +x+l 


因为 2=0。 
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26.4 模 己 乘法 


出 于 计算 上 的 考虑 ，F,[x]/P 上 的 乘法 就 是 普通 的 多 项 式 乘法 ， 然 后 由 模 P 约 简 。 这 与 
Z/m 中 的 乘法 非常 相似 。F,[x] 上 的 乘法 实际 上 有 更 本 质 更 有 意义 的 定义 ， 它 在 一 些 定理 证 
明 中 是 必 不 可 少 的 。 但 本 节 的 这 种 形式 只 是 出 于 计算 的 需要 。 

例子 在 F[x]/(x*+x+]) 中 ,将 x?+x+1 与 x*+x+1 相 乘 将 得 到 : 

(za+Xr+l) +x+D=x +x +2x +2x? +2x+1 
=x +x4+l 
=x*modx* +x+1 
因为 2=0 且 (x5+xt+] 一 (x)(x4+x+1)=x?+1。 所 以 可 用 模 x4+x+1 约 简 x” +x4+1。 
实际 上 ， 模 P 了 乘法 就 是 将 多 项 式 以 普通 方式 相 乘 后 ， 再 用 模 了 约 简 。 


习题 


26.4.01 在 域 K =(F,)[x]/(x*+x+1) 上 ， 令 @ 为 x 的 像 以 约 简 形式 计算 d+a)a 。 

26.4.02 在 域 K =(F,)[x]/(x?+x+]) 上 , 令 a 为 x 的 像 以 约 简 形式 计算 a5。 

26.4.03 在 域 K =(F,)[x]/ (x +x+] 上 ， 令 为 x 的 像 以 约 简 形式 计算 as 。 

26.4.04 在 域 KK =(F,)[x]/(x”+x?+1) 上 , 令 a 为 x 的 像 以 约 简 形 式 计算 (1+a+a) 与 
(L+o”) 的 乘积 。 


26.5 模 尸 乘法 逆 


这 是 最 复杂 的 运算 ， 需 要 使 用 欧 几 里 得 算法 和 快速 指数 算法 。 
这 里 很 重要 的 一 点 就 是 模 数 是 不 可 约 的 。 对 于 了 0mod PP ， 为 了 寻找 了 模 P 的 逆 元 ， 
就 是 使 用 扩展 的 欧 几 里 得 算法 寻找 多 项 式 $ 和 7 ， 使 
S.f+7T.P=l 
那么 即 有 
S.f-1l=7T:.P 
因此 由 定义 有 5S.:f=l1modP， 即 /1=SmodP 。 因 为 /0modP 且 P 是 不 可 约 的 ， 必 然 它 
们 的 最 大 公约 数 为 1， 所 以 这 样 的 98 和 7 是 存在 的 。 
比如 ， 为 在 P[xzl/(xz +x+nD 上 求 x 的 乘法 道 元 ， 首 先 做 欧 几 里 得 算法 ， 
(+x+D-(Oc+HC)=1 
因此 就 得 到 了 我 们 所 期 望 的 表达 式 : 
(x+DCD+((z +x+1)=1 
由 此 即 有 
(x+DC]=1mod(xz +x+l 
即 x =x+lmod(xz +x+1)。 
为 在 了 E[x]/ 《x1+x+1) 上 求 x* +x+1 的 乘法 逆 元 ， 我 们 首先 做 欧 几 里 得 算法 : 
(xz4+X+D-( +x)(x +x+])=1 


因此 得 到 我 们 所 期 望 的 表达 式 
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(x +x)x +xHLD+ODCC +x+l)=1 


由 此 ， 

(x +x)x +x+l)=1mod(x* +x+D 
这 样 就 有 

(x +x+1)! =x +xmod(xt +x+1) 
习题 


26.5.01 在 域 K=F,[x]/(x* +txz+D 上 ， 令 ww 为 x 的 像 ， 以 约 简 形式 计算 (4+cw)” 。 

26.5.02 在 域 及 = Bfz]/(xz2 +x+1) 上 ， 令 a 为 x 的 像 ， 以 约 简 形式 计算 a 。 

26.5.03 在 域 K= 访 [x]/(x? +z+D 上 ， 令 ca 为 x 的 像 ， 以 约 简 形 式 计 算 (1I+ w+c2)1 。 

26.5.04 验证 多 项 式 x*+x+1 在 [x] 上 不 可 约 , 令 Q 为 x*+x+1=0 的 根 ， 用 & 的 多 项 
式 形式 表示 (Qa? +1D- 。 

26.5.0S 多 项 式 xs+x +1 在 [x] 上 不 可 约 , 令 Q 为 x*+x? +1=0 的 根 用 ce 的 多 项 式 
形式 表示 (@? +a+l)!。 

26.5.06 多 项 式 xs +x5+x*+x?+1 在 书 [x] 上 不 可 约 ，@ 为 x+ 六 + 礁 + 入 +1=0 的 根 ， 
用 a 的 多 项 式 形式 表示 (a? +a+1l)-!。 





回想 一 下 ，a 的 以 5 为 底 模 p 的 离散 对 数 L (如 果 存 在 )， 就 是 满足 a=4b! 的 上， 我 们 记 
为 工 =log5a， 模 数 的 理解 参照 上 下 文 。 为 了 明确 这 个 对 数 不 是 “通常 的 ”对 数 ， 工 有 时 也 称 
为 a 的 以 5 为 底 模 p 的 指标 。 我们 已 经 知道 对 素数 p ， 存 在 一 个 模 p 的 本 原 根 b。 因 此 有 一 
个 模 素数 p 的 本 原 根 b， 任 何 模 p 的 非 零 元 素 a 都 有 一 个 以 4 为 底 的 离散 对 数 。 对 这 一 思想 
的 抽象 ， 通 过 利用 循环 群 的 生成 元 代替 Z/ p* 中 的 本 原 根 5 的 方式 实现 。 这 种 抽象 之 所 以 被 
发 现 很 有 用 处 ， 是 因为 计算 离散 对 数 的 最 快速 算法 只 适用 于 简单 的 情况 ， 如 Z/ p*， 但 不 适 
用 于 像 椭圆 曲线 这 样 的 机 制 。 

在 一 个 群 上 计算 离散 对 数 最 直接 的 方法 就 是 穷 举 ， 简 单 地 试验 每 个 元 素 ， 直 到 找 出 正确 
的 那 一 个 。 即 在 Z/p 中 ，5 为 模 p 的 本 原 根 ， 为 计算 log, a， 首 先 计算 451,57,63,54,…〔 均 模 
pP )， 直 到 出 现 4 的 某 个 方 窜 为 目标 a。 这 需要 O(p) 次 试验 ， 对 于 较 大 的 p ， 比 如 用 于 密码 
目的 的 p (100 位 十 进 制 数 或 更 大 ), 这 种 天 真 的 方法 是 完全 不 可 行 的 ， 就 像 试 除法 在 整数 分 
解 中 不 可 行 一 样 。 


27.1 Baby-step Giant-step 算法 


计算 离散 对 数 的 Baby-step Giant-step 算法 在 任何 循环 群 G 上 都 可 运用 ,条件 是 群 运算 的 
计算 代价 不 是 太 昂贵 。 运 行 时 间 是 1G 平方 根 阶 的 ， 即 为 O(V|G1|) 。 另 一 方面 ， 该 算法 要 使 
用 OILG|) 个 存储 器 。 因 此 它 是 运行 时 间 和 存储 器 之 间 平 衡 较 好 的 一 个 算法 。 该 算法 是 确定 
性 的 。 

设 G 是 以 5 为 生成 元 的 循环 群 ， 我 们 希望 计算 某 个 其 他 元 素 ae G 以 5 为 底 的 离散 对 数 。 
令 n 为 群 G 的 阶 |G|， 并 令 m=floor(Yn)， 即 m 为 恰好 不 超过 Vn 的 整数 。 当 1=log, a 时 ， 我 
们 当然 可 以 记 1 =m.i+ ,其 中 0<i<m,; 0 过) < 六 -方程 ga= b”*/ 可 变形 为 a(b-™) =bi，。 
这 样 我 们 首先 对 0 j<m， 计 算 m 个 br， 并 把 它们 放 在 某 个 有 序 的 查询 表 中 。 然 后 连续 计 
算 如 下 m 个 值 : 

aq Da 
在 第 i 步 ， 比 较 a.b”™ 和 4b/ ， 如 果 相 等 ， 则 log, a=mi+tj。 

备注 ”关于 可 查询 表 4/ 的 构造 ， 最 初 需要 Vn 步 。a.b-” 和 b/ 的 比较 共有 O(Yn) 次 ,每 
一 次 应 当 必 须 在 不 超过 O(Vn) 的 时 间 内 完成 。 否则 总 共 就 需要 O(n) 步 ， 这 就 与 穷 举 法 没有 区 
别 了 .因此 查询 表 凡 的 编排 必须 保证 能 非常 快速 地 判断 一 个 元 素 a.5-” 是 否 在 表 中 。 比 如 ， 
在 简单 的 情况 ， 这 个 判断 应 只 需要 1log, m 次 比较 即 可 完成 。 

尽管 这 个 算法 在 任何 群 上 均 有 意义 ， 但 5b/ 的 必要 排序 最 容易 在 有 形 的 具体 例子 上 描述 ， 
如 Z/p”，p 为 素数 。 设 5 是 模 素 数 p 的 一 个 本 原 根 ， 群 G= ZZ/p” 的 阶 为 n= p-1， 设 m 是 
不 超过 Jp -1 的 最 大 整数 。 为 在 群 G 中 计算 log, a, 首 先 计算 

(0,5°%p), 08196D) 0250296 六 (7 一 1 519%6D) 
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我 们 将 这 些 有 序 对 按 它 们 第 二 个 分 量 的 大 小 进行 排序 ， 所 以 检验 某 个 ge G 是 否 在 表 上 ， 就 
仪 需 要 log, m 次 比较 。 那 么 可 以 对 比较 计算 步 又 描述 如 下 : 
e 计算 c=b*modp; 
。 初始 化 x=a; 
e 对 0<i<m,， 如 果 x 是 表 2,b,…,b”" 中 的 5 ， 则 1log, a =mi+j。 否则 , 用 x-cmodp 
代替 x ， 且 令 二 it1。 
备注 ”为 使 计算 更 加 有 效 有 更 方便 ，G 中 元 素 的 大 小 或 其 他 数字 标识 的 记 法 是 必要 的 。 
例子 计算 log,3mod29 。 这 里 p=29，a=3，b=2，m=floor(V29--1)=5 。 因 此 我 们 需 
要 计算 (0,b"%29),(1,p1%29),(2,5 7%29),(3,5:%29),(4,5*4%29) ， 即 得 到 这 样 一 个 表 : 
《0.1) , (1,2) ,(2,4) , (3,8) , (4,16) 。 因 为 这 个 例子 中 的 数 小 ， 得 到 的 这 个 表 已 经 是 按照 数 对 的 第 二 
个 分 量 由 小 到 大 排列 了 。 令 c=2-mod29=10 ， 初 始 化 x=a=3， 它 不 在 表 中 ; 用 新 的 值 
3.2”=29 取代 x=3， 重 新 在 表 中 找 2”， 这 一 次 找到 了 2*， 此 时 i=1，j=0， 所 以 
log,3=5.1+0=5.。 . 
例子 计算 log,3mod101。 这 里 p=101，a=3，5=2，m=floor(MY101-1)=10。 因 此 
我 们 需要 计算 (0,58°%101),0,51%101)…,(9,6”%101) ， 即 得 到 这 样 一 个 表 : 
(0,D) , (1,2) , (2,4), (3,8) , (4,16) , (5,32) , (6,64) ,(7,27) , (8,54) , (9,6) 。 按 照 数 对 的 第 二 个 分 量 由 小 
到 大 排列 则 得 到 
(0,1) , (1,2), (2,4) , (9,6) , (3,8) , (4,16) , (7,27) , (5,32) , (8,54), (6,64) 
同样 ， 令 c=2 modl01= 29 ， 初 始 化 x =a=3， 发 现 3 不 在 表 中 ; 用 x.cmod p 代 替 x， 并 
且 只 要 x 不 在 表 中 就 继续 计算 : 
3.29%101=87 
87.29%101= 99 
99.29%101= 43 
43.29%101=35 
35.29%101=5 
5.29%101=44 
44.29%101=64 
这 一 次 我 们 发 现 64 在 表 中 ， 即 3.(2”)=64=25modl01， 此 时 i=7，j=6， 所 以 
log)3=7:9+6=69 在 Z/10E 中 。 


习题 


27.1.01 利用 Baby-step Giant-step 算法 ， 在 乙 / 29 中 求 log;3 。 
27.1.02 利用 Baby-step Giant-step 算法 ， 在 Z/29 中 求 log, 5 。 
27.1.03 利用 Baby-step Giant-step 算法 ， 在 ZZ/29 中 求 log,7。 
27.1.04 利用 Baby-step Giant-step 算法 ， 在 Z/29 中 求 log,11。 
27.1.05 利用 Baby-step Giant-step 算法 ， 在 乙 /53 中 求 log,3。 
27.1.06 利用 Baby-step Giant-step 算法 ， 在 ZZ/53 中 求 log, 5 。 
27.1.07 利用 Baby-step Giant-step 算法 ， 在 ZZ/53 中 求 log,7。 
27.1.08 利用 Baby-step Giant-step 算法 ， 在 Z/53 中 求 log, 11。 
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27.1.09 利用 Baby-step Giant-step 算法 ， 在 Z/227 中 求 log,3。 
27.1.10 利用 Baby-step Giant-step 算法 ， 在 Z/227 中 求 log,5。 
27.1.11 利用 Baby-step Giant-step 算法 ， 在 ZZ/227 中 求 log 7 。 
27.1.12 利用 Baby-step Giant-step 算法 ， 在 Z/227 中 求 log,11。 


27.2 Pollard 的 Rho 方法 


分 解 整 数 的 Pollard 的 Rho 算法 的 思想 可 用 于 计算 任意 群 上 的 离散 对 数 。 在 因 式 分 解 中 ， 
Rho 方法 比 直接 的 天 真 方法 获得 了 极 好 的 速度 性 能 ， 但 还 不 是 多 项 式 时 间 的 。 这 里 的 Rho 算 
法 本 质 上 是 概率 意义 上 的 , 依赖 于 生日 悖 论 。 在 这 方面 , 它 与 分 解 整数 的 Rho 算法 完全 平行 。 

备注 ”本 算法 可 用 来 计算 任意 有 限 循环 群 上 的 离散 对 数 ， 不 仅仅 是 对 ZZ/ p 或 其 他 情况 。 
比如 它 可 用 于 计算 椭圆 曲线 上 的 离散 对 数 。 

备注 ” 当 所 用 的 循环 群 的 阶 为 素数 时 , 这 个 算法 最 容易 实现 。 因 此, 比如 考虑 在 Z/5% 上 
的 离散 对 数 问题 时 ， 由 于 忒 /5% 的 阶 为 58 且 有 两 个 生成 元 , 我 们 不 用 直接 去 考查 Z/159*, 而 
只 需 利用 该 算法 的 简单 形式 ， 去 考查 29 阶 循环 子 群 G，G 由 b=4=2? 生成。 那么 我 们 只 需 
对 那些 小 的 子 群 G 中 的 元 素 计算 离散 对 数 〈 子 群 G 包含 /59” 的 平方 )。 

设 G 为 一 个 循环 群 ， 生 成 元 为 6， 单 位 元 为 e。 对 于 aeG， 我 们 来 计算 log; a ， 也 就 是 
要 寻找 最 小 的 正 整 数 L， 使 5* =a 。 将 G 划分 为 三 个 不 相交 的 子 集 51,、5, 和 5S,， 且 eg5S,。 
定义 G 到 G 的 “随机 ”函数 了 如 下 ; 








a ,和 性 如 果 X eS) 
f(X)=4 XX” 如 果 X €5， 
5b: 了 如 果 X &5， 
选择 两 个 随机 整数 mo 和 mm (可 能 都 为 0) , 令 X =am .4b”%， 递归 地 定义 一 个 元 素 XX,e G 
的 序列 ， Xi = ai)。 


在 分 解 整数 的 Rho 方法 中 运用 的 概率 机 制 同样 在 这 里 起 作用 。 假设 序列 XX,,X1,… 是 “ 随 


机 的 ” G 的 阶 为 161， 则 对 于 入 > WG ，X = 的 概率 至 少 为 二 ， 这 里 1z 7 且 ijSN 


同 Rho 整数 分 解 方法 一 样 ， 我 们 也 使 用 Floyd 循环 检测 方法 ， 以 避免 使 用 太 多 的 存储 器 
和 进行 大 量 的 比较 操作 。 为 达到 这 个 目的 〔 同 时 计算 艺 的 序列 )， 我 们 计算 另 一 个 序列 
二 ,二 ,… ， 它 的 定义 如 下 ; 

=e, Yun=/f(f(X) 
因此 ，Y =X 。 那 么 对 刚好 大 于 VGI 的 N， =X ， 即 入 = 加 的 概率 大 于 。 


由 我 们 的 构造 ， 每 个 万 ,都 可 以 表示 为 a 的 方 曙 和 5 的 方 守 的 乘积 ， 因 为 函数 /完全 是 
按照 a 或 5 的 乘法 以 及 平方 来 定义 的 。 为 了 形成 这 种 概念 ， 我 们 令 m, 和 六 是 正 整数 且 使 得 
Y=amb”，mo 和 是 一 开始 就 选 定 了 的 (前面 已 经 指出 ，m。 和 no 都 为 0 是 一 种 合理 的 选 
择 )。 如 果 我 们 要 清楚 地 说 明 m 和 是 怎样 由 函数 了 的 定义 递归 地 确定 的 ， 那 么 就 是 : 
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2m， 如果 X, eS， 
m 如 果 XX, € 5， 


n， ”如 果 X ,eS 
Nin = 


m+1 如 果 X eg 
Min 二 


2m 如 果 Xi eS， 
1 +1 如 果 Y eS， 
那么 当 X,, = 站 时 ， 我 们 就 可 以 得 出 ab =a™"b”*， 由 此 即 得 b* "=a™-”™:， 两 同时 
取 以 2 为 底 的 对 数 ， 则 得 到 ; 
(logs oa)(m2; —mi)=(n; — ni) mod|G| 
这 是 因为 由 生成 元 的 定义 ，|b|HG|。 除 非 我 们 碰 到 m,, -ma 与 阶 |G | 不 是 互 素 的 情况 ， 和 否则 
总 能 找到 m, - mm 模 | G| 的 乘法 逆 元 : ， 那 么 所 要 求 的 离散 对 数 则 为 
logsa=it(n,-n) mod1G| 
因此 这 个 算法 需要 跟踪 六 个 量 ， 即 (X,,m,n;,Y,m2sn2;)，i=0,1,2,…, 到 XX = 了 时 终止 ， 
为 了 给 出 一 个 更 适合 于 执行 的 过 程 ， 定 义 函数 户 :GxZxZ ->GCxZxZ 为 ， 
(a: 了 ,m+1,n) 如 果 X ,eS 
F(X,mn)=4 (X’,2m,2n) 如果 x, € 5， 
a 如 果 X, es Ss 
为 了 使 算法 描述 和 符号 更 加 简洁 ， 算 法 按 如 下 步 又 执行 
。 选取 随机 整数 mm 和 mm ; 
e 初始 化 (X ,my,nzr,Y,my,ny)= (a™b”®,mo,no,a™b”™, mo,no); 
。 重复 如 下 步骤 直到 和 = 了 :; 用 F(X,mxy,nx) 代 替 (X,mx,ny)， 并 且 用 FPF(F(Y,my,ny)) 
代替 (Y,my,ny); 
e 当 久 = 了 时， 尝试 求解 如 下 方程 (logs a)(my 一 mx)=(nx-ny) mod|G|。 
如 果 my -mx 与 1G| 不 是 互 素 的 ， 则 算法 失败 。 假 设 1G| 为 素数 ， 这 样 就 方便 多 了 : 如 
果 我 们 想象 整数 mi -mi 是 “随机 的 ” 则 它 与 1G| 有 一 个 公 因 子 的 概率 大 约 就 是 1/|G|。 对 
于 较 大 的 1G| ， 这 个 概率 值 是 可 以 忽略 的 。 一 旦 算法 失败 ， 重 新 选择 wm, 和 n,， 再 次 执行 算 
备注 ”如 果 群 G 的 阶 |G | 不 是 素数 ， 特 别 地 ， 它 有 一 个 小 的 素 因 子 p ， 由 于 my -mx 与 
1G| 的 最 大 公 因 子 就 等 于 p ， 则 算法 失败 概率 至 少 为 /p， 这 就 不 能 忽视 了 。 但 这 可 以 通过 多 
次 选择 随机 种 子 mo 和 m 并 重复 执行 算法 的 方法 来 处 理 。 
备注 选择 子 集 8 时 , 必须 保证 在 判断 一 个 给 定 的 元 素 X e G 是 否 属于 子 集 8 时 的 效率 
足够 高 。 
备注 设 G 是 Z/59% 的 一 个 子 群 ， 且 包含 模 59 的 平方 。 由 循环 群 的 一 般 结论 ， 因 为 2 
是 模 59 的 本 原 根 ，4 就 是 G 的 一 个 生成 元 。 即 任何 模 59 的 非 零 的 平方 ， 就 有 一 个 以 4 为 底 
的 离散 对 数 。 另 外 ， 子 群 G 的 阶 为 29 是 个 素数 ， 我 们 知道 9 是 模 59 的 一 个 平方 所 以 9 属 
于 G 。 我 们 来 计算 log4 9 。 首 先 必须 确定 如 何 选择 子 集 S, 、S, 和 5S;， 一 种 通用 的 方法 是 选 
取 ; 
S| = GN{,4,7,10,.…,55,58} 
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S = Gf\{2,5,8,11,.…,56)} 
S = GN{3,6,9,12,.…,57} 
选取 mo =no =0， 所 以 X= 为 =1mod59， 然 后 做 初始 化 如 下 : 
(X,mxsny) = (1,0,0) 
(Y, my, ny) = (1,0,0) 


且 a=9，8=4。 下 面 开 始 和 迭代 步骤 ， 每 一 步 的 六 元 组 依次 为 : 


X mr ny 了 my ny 
1 0 0 1 0 0 
9 1 0 36 1 1 

36 |1 1 27 2 4 

26 1 2 28 3 5 

27 2 4 26 5 5 

49 2 5 49 10 1 


在 第 五 步 我 们 发 现 夸 = 了 ， 所 以 我 们 就 有 (log49)(40-2)=(5-1Dmod29《〈 注 意 ， 我 们 解 
这 个 方程 是 模 29= (59 - 1) /2， 而 不 是 S9)， 这 样 在 Z/5% 中 ，1log49=21。 

例子 8$ ;的 选取 方法 同上 ， 我 们 来 计算 模 227 的 离散 对 数 ， 之 所 以 选取 这 个 模 数 ， 是 因 
为 它 和 113 = (227-D/2 都 是 素数 。 正 好 2 为 模 227 的 一 个 本 原 根 ， 所 以 4=2? 就 是 Z/ 227” 的 
一 个 阶 为 113 的 循环 子 群 G 的 生成 元 。 因 此 ,我们 可 以 计算 任何 模 227 非 零 平方 的 以 4 为 底 
的 离散 对 数 。 比 如 ，17*%227 = 62 , 所 以 62 就 会 有 模 227 以 4 为 底 的 离散 对 数 。 对 种 子 mo 和 
no 做 最 简单 的 选择 ， 即 mo =m =0， 所 以 X= 了 =1mod227 ， 其 他 初始 值 为 a=62，b=4， 
(Y,myvypr)= (0.0)，(7,my,my)= (0.0) ， 和 迭代 运算 开始 ， 各 组 数 对 的 计算 结果 如 下 : 


XX mr ny 上 my ny 
1 0 0 1 0 0 
62 1 0 2122 2 0 
212 2 0 21 9 4 1 
225 4 0 99 4 3 
219 4 1 36 5 4 
195 4 2 122 5 6 
99 4 3 62 10 13 
169 4 4 223 40 32 
36 5 4 1953 40 $54 
144 5 5 169 40 56 
122 5 6 144 41 5S7 
129 10 12 129 82 116 


我 们 发 现在 第 11 步 出 现 城 = 了 ， 因 此 通过 求解 如 下 方程 
(log, 62).(82 -10) =12 -116modl13 
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即 得 Z/227* 上 以 4 为 底 62 的 离散 对 数 log, 62 = 99 。 

为 了 给 出 另外 的 例子 , 我 们 需要 一 个 有 限 域 的 模型 。 多 项 式 P(X)= ;+XX*+1 在 F[X] 
上 是 不 可 约 的 ， 这 可 由 试 除法 验证 如 下 ; 我 们 只 需 用 次 数 不 超 过 P 的 次 数 的 一 半 的 不 可 约 多 
项 式 来 做 除法 , 那么 这 里 就 需要 用 针 、 邓 +1 入 ? + 守 +1 来 做 除法 , 它们 没有 一 个 能 整除 P。 
因此 k=,[X]/P 是 一 个 有 25 =32 个 元 素 的 有 限 域 。 因 为 P 的 次 数 为 5， 而 且 25 -1=31 为 
素数 ， 了 就 是 居中 模 P 的 一 个 本 原 根 。 因 此 ， 我 们 可 以 计算 天 中 以 为 底 模 P 的 对 数 。 注 
意 ， 我 们 使 用 大 写字 母 “X ”表示 多 项 式 中 的 不 定 元 ， 以 区 别 Rho 算法 中 的 记号 “x ”。 

备注 注意 25 -1=31 为 素数 ， 所 以 可 以 运用 Rho 算法 的 最 直接 的 形式 。 

例子 ”P(X)=X”+X*+1， 我 们 来 计算 KK=B[X]/P 中 以 XX 为 底 模 P 的 离散 对 数 。 我 
们 需要 从 天 的 31 个 非 零 元 素 中 选取 三 个 集合 Si 、 史 和 多， 而 且 要 保证 验证 一 个 模 己 的 多 项 
式 属于 某 个 集合 8 是 容易 的 。 尝 试 模拟 “随机 性 ”的 选择 : 

。 取 5 为 包含 次 数 不 超 过 5 且 x? 项 的 系数 等 于 x 项 系数 的 多 项 式 ; 

e 取 5, 为 包含 次 数 不 超 过 5 且 x 项 的 系数 等 于 常数 项 和 线性 项 系数 之 和 的 多 项 式 ; 

e。 取 5, 为 包含 次 数 不 超 过 5 且 不 在 集合 $S, 和 5S, 中 的 多 项 式 。 

由 上 面 的 记号 ，48 =x,a=x+1， 对 任何 的 多 项 式 耻 ， 定 义 


((x+]): 针 ,+1,n) 如 果 XY¥eS 
F(X,m,n)=4 (X*,2.m,2.n) ”如 果 X &5, 
(x:X,m,n+l) 如 果 X & 5， 


同样 取 最 简单 的 随机 种 子 ，mo = no =0， 和 初始 化 





(X,my ,Ry ,了 ， my,ny) 二 (1,0,0,1,0,0) 


求 F(X,mxynx) 和 FF(F(Y,my,ny))， 直 到 XX=Y: 


1 0 0 1 0 0 
i+x 10 1+x 2 0 
1l+x* 2 0 x +x 8 0 
1+x 4 0 1+x 16 1 


现在 只 需要 解 如 下 方程 即 可 : (log,(x+1.46-4)=0-1mod31， 由 此 ， 我 们 可 得 ( 模 
x +x +1) log,(x+l)=18。 

备注 ”如 果子 集 5, 的 选取 “不 是 太 随 机 ”或 者 等 价 地 ，/ “不 是 太 随 机 ”， 则 需要 很 多 
步 才能 得 到 盛 = 了 。 

例子 条 件 同 前 例 ，8 的 选取 为 ; 

e 取 | 为 包含 次 数 不 超 过 5 且 x? 项 的 系数 等 于 x 项 系数 的 多 项 式 ，; 

。 取 5S, 为 包含 次 数 不 超 过 5 且 x 项 的 系数 等 于 常数 项 和 线性 项 系数 之 和 的 多 项 式 ; 

e 取 5S; 为 包含 次 数 不 超 过 5 且 不 在 集合 5S, 和 5S, 中 的 多 项 式 。 

则 算法 运行 如 下 : 
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0 0 

1 x+x” 1 
x+x? 1 XxX+X +x +x 3 
x+x’ l 1+x* +x 8 

1 l+x+x * +x +x 16 
1+x+x? 1 1+x+x 33 12 
2 
3 
6 


x +x4 67 24 
XxX+xi +x4 68 25 
1+xr+x2+z+x4 16 I+x+x2+xz 138 50 
x+x4 32 12 x+x+4 552 200 
尽管 我 们 还 是 得 到 了 相同 的 结果 (离散 对 数 log,(x+1)=18 )， 但 它 用 了 9 步 而 不 是 前 面 
的 3 步 。 
例子 ”用 相同 有 限 域 模型 GF(25) ， 我 们 来 计算 log,(x* +x+DmodP 。5, 的 选取 与 第 一 
个 有 限 域 的 例子 中 的 相同 。 详 细 过 程 如 下 : 


0 

0 

1 

2 

XxX+X 2 +X +X 3 
4 

1+x +x4 8 

8 


1+x+x :+x 





1 0 0 1 0 0 
1+x+x 1 0 1+z2+x 2 0 
1+xz2+x4 2 0 x 3 1 
x 30 li+x+x1 5 1 

x 3 1 x+x” 6 2 
1+x2+x+x4 4 1 x3 14 4 
1+x+x 5 1 1+o+x4 16 4 


因此 ， 通 过 解 如 下 方程 
(log, (x* +x+])).(16—5)=1~4mod31 
我 们 就 得 到 log (xz +x+1)=11。 


习题 


27.2.01 用 Rho 方法 求 Z123 中 以 2 为 底 3 的 对 数 。 

27.2.02 用 Rho 方法 求 Z/23 中 以 2 为 底 6 的 对 数 。 

27.2.03 用 Rho 方法 求 Z/23 中 以 2 为 底 13 的 对 数 。 

27.2.04 用 Rho 方法 求 Z/23“ 中 以 2 为 底 12 的 对 数 。 

27.2.05 用 Rho 方法 求 Z147 中 以 2 为 底 9 的 对 数 。 

27.2.06 用 Rho 方法 求 Z/47* 中 以 2 为 底 3 的 对 数 。 

27.2.07 用 Rho 方法 求 Z/47* 中 以 2 为 底 6 的 对 数 。 

27.2.08 用 Rho 方法 求 Z/47* 中 以 2 为 底 21 的 对 数 。 

27.2.09 用 Rho 方法 求 Z/2027Y 中 以 3 为 底 10 的 对 数 。 
27.2.10 用 Rho 方法 求 Z/2027* 中 以 3 为 底 4 的 对 数 。 

27.2.11 用 Rho 方法 求 Z/2027* 中 以 3 为 底 12 的 对 数 。 
27.2.12 用 Rho 方法 求 模 x +x?+1 以 x 为 底 xY+x?+x+1 的 对 数 。 
27.2.13 用 Rho 方法 求 模 x”+x*+1 以 x 为 底 x*+x+1 的 对 数 。 
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27.2.14 用 Rho 方法 求 模 x” +x+1 以 x 为 底 x4+x? +x*+x+1 的 对 数 。 

27.2.15 用 Rho 方法 求 模 x + 这 +1 以 x 为 底 x* +x +xX+1 的 对 数 。 

27.2.16 用 Rho 方法 求 模 x + 说 +x+1 以 x 为 底 x+1 的 对 数 。 

27.2.17 用 Rho 方法 求 模 x? + 说 十 x+1 以 x 为 底 x?+1 的 对 数 。 

27.2.18 用 Rho 方法 求 模 x + 让 十 x 十 1 以 x 为 底 x 二 x 二 x 荆 XX 二 X+1 的 对 数 。 
27.2.19 用 Rho 方法 求 模 x +x ?+x+1 以 x 为 底 x” +x +1 的 对 数 。 


27.3 ”指数 演算 


本 节 的 方法 ， 指 数 演 算 方法 ， 是 计算 循环 群 G 上 离散 对 数 的 已 知 最 好 的 方法 。 这 个 算法 
不 适用 于 所 有 循环 群 ， 但 如 果 它 能 适用 某 个 群 ， 则 它 是 一 个 子 指数 时 间 算 法 。 该 算法 是 概率 
意义 上 的 算法 。 
备注 ”在 一 开始 做 一 个 声明 是 必要 的 ， 那 就 是 ， 算法 中 所 用 到 的 G 的 子 集 S， 即 所 谓 的 
因子 基 ， 必 须 很 好 地 选择 。 但 是 一 般 情 况 下 ， 又 不 明确 如 何 做 一 个 好 的 选择 ， 甚 至 是 不 是 存 
在 一 个 好 的 选择 。 调 整 算 法 可 以 达到 对 因子 基 选 择 的 校正 ， 但 通常 可 能 不 存在 一 个 足够 好 的 
选择 ， 以 获得 子 指数 的 运行 时 间 。 
设 5 是 循环 群 G 的 生成 元 ，n 直 G|， 并 设 ae G 是 另 一 个 元 素 , 我 们 来 计算 a 的 以 5 为 底 
的 对 数 。 
。 选择 因子 基 : 选择 G 的 一 个 较 小 的 子 集 ， 因 子 基 S ={p,…,p,}; 
e 收集 关系 : 选择 一 个 随机 整数 ，0 志 kn-1， 尝试 用 5 中 一 组 元 素 的 乘积 来 表示 4b*。 
如 果 这 种 关系 b* = ph … p* 存在 ， 两 边 取 对 数 即 得 
k=k logs, p+:+k log, p, modn 
重复 这 一 过 程 ， 直 到 有 超过 ! 个 关系 。 
e 求 logs p;: 求解 方程 组 以 求 得 因子 基 中 元 素 以 4b 为 底 的 对 数 。 如 果 方 程 组 是 不 定 的 ， 
则 返回 到 上 一 步 并 生成 更 多 的 关系 。 
。 求 另 一 个 对 数 : 给 定 as G ， 选 择 一 个 随机 整数 ， 并 尝试 将 a.b* 表 为 如 下 形式 : 
abt = ph ph 
如 果 成 功 ， 求 解 log, a = (klogs pi +:…+k logs p,)-kmodn; 
如 果 不 成 功 ， 选 择 不 同 的 ， 并 返回 重新 计算 。 
备注 当然， 计算 群 中 不 同 元 素 的 对 数 时 ， 对 因子 基 元 素 的 对 数 的 预先 计算 ， 不 必要 重 
复 。 
备注 ”尽管 算 法 的 检验 已 解释 了 ， 但 因子 基 S 的 选择 必须 保证 G 中 的 “许多 ”元 素 能 被 
表示 为 5 中 的 元 素 的 指数 “ 较 小 ” 方 守 的 乘积 。 当 然 ， 这 个 思想 及 其 影响 需要 量化 以 优化 算 
法 。 
备注 ” 当 所 考虑 的 循环 群 是 G =Z/p”*，p 为 素数 ， 则 因子 基 就 是 前 i 个 素数 。 当 然 ， 选 
择 一 个 合适 的 t 却 是 一 个 问题 ,检验 一 个 随机 产生 的 群 的 元 素 是 否 为 因子 基 中 元 素 的 乘积 《以 
较 小 的 正 整 数 指数 )， 可 以 用 因子 基 中 元 素 的 试 除 法 很 快 完成 。 
例子 设 G=Z/2%，G 的 阶 为 28， 选 择 本 原 根 5=11。 取 因子 基 S = {2,3,5} ， 考 虑 45 的 
随机 方 军 ， 开 始 生成 关系 。 注 意 我 们 要 解 由 模 28 的 关系 组 成 的 方程 组 : 
029%029 = 1129%629 = 5 
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03%29 =113%29 = 26 (失败 ， 不 能 表 为 因子 基 元 素 的 乘积 ) 
b5%29 =115%29 =14 (失败 ， 不 能 表 为 因子 基 元 素 的 乘积 ) 
559%629 =11°%29 =9 =3” 
579%29 =117%29=12=22.3 
六 9%629 =11?9%29=2 
恰好 在 本 例 中 ， 可 以 通过 解 模 28 的 方程 组 获得 因子 基 的 对 数 。 由 第 一 个 关系 式 就 可 直接 得 
到 log,;,$=2 。 由 第 四 个 关系 式 则 可 得 6= 2.log;3mod28 ， 因 为 对 数 前 的 系数 2 与 模 数 28 
有 一 个 公 因子 ， 因 此 不 能 惟一 地 确定 logi;3 。 但 是 由 最 后 一 个 关系 式 可 直接 得 到 logll12=9 。 
然后 我 们 再 利用 倒数 第 二 个 关系 式 ， 则 有 7= 2.logil12+logll3mod28， 可 得 logll3=17 。 
这 就 完成 了 对 因子 基 S = {2,3,5} 的 预先 计算 。 比 如 ， 为 了 求 log117， 用 5=11 的 “随机 ” 
方 军 柔 以 a =7(mod29) ， 然 后 寻找 可 表示 为 因子 基 元 素 乘积 的 结果 : 
a.45%29 =7.11%29 =19( 失 败 ) 
a.p029%29=7.112%29=6=2.3 





因此 ， 
logl,7= logll2+logl1i3-2=9+17 一 2=24 
备注 ”该 算法 比 前 面 仅 适用 较 大 群 的 算法 效率 更 高 。 





有 限 域 上 的 桶 圆 曲 线 ， 给 出 了 这 样 一 种 群 的 例子 ， 即 该 群 的 结构 甚至 比 Z/ 产 的 结构 还 
要 简单 。 后 面 我 们 将 给 出 椭圆 曲线 的 简短 定义 。 这 也 为 抽象 Elgamal 密码 的 思想 来 编制 密码 
提供 了 可 能 ，Elgamal 密码 使 用 了 群 Z/ 六 上 的 离散 对 数 。 

在 离散 对 数 类 密码 中 ， 按 照 可 对 抗 密 钥 长 度 攻击 的 能 力 而 言 ， 椭 圆 曲 线 密码 似乎 是 目前 
最 优 的 ， 例 如 与 使 用 群 Z/ p* 的 Elgamal 密码 相 比 。 当 然 这 也 可 能 随 着 人 们 开发 出 适合 于 椭 
圆 曲 线 的 更 好 算法 而 改变 。 

而 且 似 乎 有 事实 表明 ， 椭 圆 曲 线 〈 离 散 对 数 ) 密码 较 RSA 体制 能 更 好 地 对 抗 密 钥 长 度 的 
攻击 。 这 也 可 能 随 着 人 们 开发 出 适合 于 椭圆 曲线 的 更 好 算法 而 改变 。 

也 有 一 种 基于 如 下 思想 的 因子 分 解 攻 击 ， 即 如 果 乙 /zz 不 是 一 个 域 ， 也 就 是 nn 不 是 一 个 素 
数 ， 则 群 运算 公式 可 能 会 在 不 同 的 点 “爆炸 ”。 对 于 特定 范围 的 大 整数 ， 这 种 分 解 攻击 是 凌 
效 的 。 尽 管 目前 在 其 优化 范围 内 还 不 如 二 次 筛 法， 也 不 如 针对 真正 大 整数 的 数 域 筛 法 。 但 是 
在 实践 中 椭圆 曲线 第 法 仍 被 广泛 使 用 。 

本 章节 仅仅 给 出 椭圆 曲线 结构 的 一 般 介 绍 。 最 近 有 一 本 书 解 释 了 有 关 密 码 学 的 椭圆 曲线 
上 上 的 计算 问题 (当然 还 包括 其 他 计算 问题 )， 它 就 是 参考 文献 中 所 列 的 [Blake,Seroussi,Smart 
2000]。 从 减少 计算 量 的 角度 出 发 ， 更 多 地 强调 了 代数 几何 的 系统 化 运用 ，[Silverman 1986] 
利用 丰富 的 高 等 代数 和 代数 几何 的 理论 ， 给 出 了 椭圆 曲线 一 般 理论 的 全 面 且 系统 化 的 介绍 。 


28.1 抽象 的 离散 对 数 


最 简单 的 情况 就 是 我 们 已 知 的 G = (5b) ， 毫 无 疑问 ，G 中 的 每 个 元 素 都 有 一 个 离散 对 数 。 

还 有 一 种 情况 就 是 G=Z/n ， 这 里 的 运算 为 模 n 加 法 ， 且 是 5 与 互 素 的 。 因 为 群 的 运 
算 为 加 法 ， 指 数 运算 《反复 的 群 运算 ) 就 正好 是 乘法 。 因 此 这 里 的 离散 对 数 就 是 

logs x=! 且 使 1.b=x 

这 种 简单 的 情况 容易 计算 x 的 离散 对 数 为 log, x =5"!.x。 我 们 感 兴趣 的 则 是 那些 计算 离散 对 
数 比较 难 的 情况 。 

首先 使 用 离散 对 数 的 情况 就 是 在 群 Z/ px 上 ( 模 p 乘法 )，p 为 素数 。 我 们 选择 模 p 的 本 
原 根 5 为 底 ， 它 是 存在 的 ， 即 b 就 是 使 得 Z/ p” 的 每 个 非 零 元 素 均 能 表示 为 b 的 方 罕 的 元 素 。 
实际 上 ，Z/p” 中 存在 g(p -1]) 个 本 原 根 ， 这 里 的 是 欧 拉 函数 。( 在 有 些 情况 底数 5b 并 不 一 
定 是 本 原 根 ， 因 为 有 时 需要 对 4 的 方案 取 对 数 。) 

不 太 严 格 地 讲 ， 给 定 一 个 “大 的 ”素数 pp 以 及 4b 和 x， 似 乎 计算 log, x 的 难度 相当 于 分 
解 与 p 大 小 相当 的 整数 N 的 难度 。 . 


28.2 ”离散 对 数 
下 面 我 们 来 看 一 下 Elgamal 密码 的 抽象 形式 。 首 先 回忆 一 下 该 密码 是 如 何 工 作 的 给 定 
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一 个 大 素数 p > 101”， 一 个 模 p 的 本 原 根 bp( 即 意味 着 任何 y 都 可 表示 为 y=b' mod p )， 一 
个 整数 c ，1 <c < p 。 秘 密 就 是 方 军 1 (离散 对 数 ) 使 得 =cmod p ， 只 有 解密 者 知道 ， 解 
密 者 选择 1 并 计算 ci。 

加 密 步 骤 如 下 : 将 明文 x 编码 为 一 个 整数 , 使 0<x< pp, 加密 者 选取 一 个 辅助 的 随机 数 x， 
这 个 随机 数 只 是 为 加 密 者 所 知 的 一 个 临时 秘密 。x 的 加 密 方 式 如 下 : 

p= Egopr(X)=(xxe hp 

随同 这 个 加 密 消息 发 送 的 还 有 “类 部 ”4b”。 注 意 加 密 者 只 需 知道 b,c, p ， 并 选择 随机 数 + ， 
但 不 知道 离散 对 数 /。 

解密 步骤 则 需要 离散 对 数 ! 的 信息 ， 但 不 需要 随机 数 > 。 首 先 由 “ 头 部 ”和 ， 解 密 者 计 
算 

(6 pb" = (bY) = cr mod P 
然后 给 上 面 等 式 两 边 同 时 乘 以 c’ 模 p 的 乘法 逆 元 (c) ， 即 可 恢复 明文 消息 : 
Doyopri)=(c) y=(c) ce.x=xmodp 

抽象 形式 。 现 在 我 们 对 Elgamal 算法 进行 抽象 以 使 它 可 用 于 任意 的 群 ， 设 G 为 一 个 群 ， 
给 定 be G 。 这 里 的 群 G 不 必 是 由 b 生成 的 循环 群 。 

选取 一 个 秘密 整数 1!， 并 设 c=b ， 只 有 解密 者 知道 ， 它 是 ec 在 G 中 的 以 6 为 底 的 离散 
对 数 。 

备注 我 们 不 是 先 选择 ce 然后 去 计算 它 的 离散 对 数 ! 

加 密 步骤 如 下 : 将 明文 元 素 x 编码 为 元 素 xeG 。 加 密 者 选取 一 个 辅助 的 随机 数 x ， 这 个 
随机 数 只 是 为 加 密 者 所 知 的 一 个 临时 秘密 。x 的 加 密 方 式 如 下 : 

y= Bicpr(X)=x'c”〔 均 在 G 中 运算 ) 

随同 这 个 加 密 消息 发 送 的 还 有 “ 头 部 ”b” eG 。 注 意 加 密 者 只 需 知 道 b,c,G ， 并 选择 随机 数 
r eZ ， 但 不 知道 离散 对 数 1eZ 。 

合法 的 解密 步骤 需要 知道 离散 对 数 ! 的 信息 , 但 不 需要 随机 数 > 。 首 先 由 “ 头 部 ”多 eG， 
解密 者 计算 

(BY =(b')” = 
然后 给 上 面 等 式 两 边 同 时 乘 以 c 在 G 中 的 乘法 逆 元 (c”)"! ， 即 可 恢复 明文 消息 : 
Dys pri(y)=(0) y=(0) .0 .x=xeG 

备注 群 G 中 离散 对 数 密码 的 安全 性 当然 依赖 于 G 中 离散 对 数 计算 的 困难 性 ， 即 给 定 45 
和 ceG， 并 确保 存在 某 个 1e Z ， 使 =。， 要 想 求 得 1 是 非常 困难 的 。 

注意 ， 将 群 中 的 运算 记 为 “乘法 ”或 者 “加 法 ”仅仅 是 一 个 记号 。 如 果 需 要 更 加 正式 的 
记 法 ， 那 么 群 的 运算 记 为 “* ” 则 “指数 运算 ”就 是 反复 做 “* ”运算 ， 也 就 是 

b' =Db*Dx*.…* 轧 
7 


特别 地 ， 如 果 将 群 运算 记 为 “加 法 ”， 则 “指数 运算 ”实际 上 就 是 乘法 : 


b=b+b+.…+b=1-b 
7 


内 此 ， 当 G 的 运算 为 模 束 数 的 加 法 时 ， 很 容易 计算 离散 对 数 。 原 因 就 是 此 时 的 指数 实 
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际 上 是 模 整数 ”的 乘法 。 因 此 从 方程 
b' =c (此 处 的 群 运算 为 模 整数 ”的 加 法 ) 

求解 /就 是 求解 1.b=c， 这 很 容易 得 到 1 = .cmod n。 

当然 ， 在 不 同 的 群 上 ， 寻 找 模 整数 的 乘法 逆 元 也 可 能 是 困难 的 ， 但 在 上 面 的 例子 中 可 
用 欧 几 里 得 算法 求 得 的 乘法 逆 元 5b" 。 所 以 并 不 是 所 有 的 离散 对 数 都 是 难以 计算 的 。 但 相 比 
而 言 , 目前 所 有 可 用 的 证 明 似 乎 表明 在 群 Z/ p” 中 计算 离散 对 数 是 困难 的 。 尽管 对 Z/ p” 加 法 
群 求 离散 对 数 是 容易 的 ， 但 对 乘法 群 Z/ p” 求 离散 对 数 却 是 困难 的 。 目 前 也 没有 已 知 的 定理 
证 阴 在 Z/p” 上 求解 离散 对 数 是 困难 的 ， 就 如 同 没 有 已 知 的 定理 证 明 大 整数 分 解 是 困难 的 一 
样 。 但 是 ， 所 有 可 用 的 推测 性 证 据 表 明 ， 对 于 大 素数 p ， 在 Z/p” 上 计算 离散 对 数 几 平 与 分 
解 大 整数 一样 困 难 。 

但 是 ， 就 如 同 我 们 已 经 看 到 某 些 “ 还 不 算 太 差 ” 的 算法 可 以 比 穷 举 试 除法 更 好 地 分 解 大 
数 一 样 ， 我 们 也 有 一 些 “ 还 不 算 太 差 ” 的 算法 来 计算 离散 对 数 。 这 些 算法 的 速度 还 不 足以 称 
它们 为 “快速 算法 ” 


28.3 ”椭圆 曲线 上 的 运算 


为 了 叙述 简便 ， 我们 以 Z/p (pzx2,3 ) 上 的 椭圆 曲线 为 例 。 给 定 Z/p 的 元 素 a 和 4 ， 
使 得 方程 w+ax+65=0 在 Z/p 中 没有 重 根 。( 我 们 已 经 知道 如 何 去 验 证 没有 重 根 这 个 条 件 ， 
只 要 计算 +ax+5 与 其 “形式 ”导数 3x? +a 的 最 大 公 因 子 即 可 。) 这 样 ， 一 条 椭圆 曲线 就 
是 一 些 点 (实际 上 为 Z/p 的 元 素 对 ) 的 集合 : 

E={(x,y)eZ/pxZ/p:y =x +axr+b} 
对 于 Z/2、Z/3 以 及 任何 有 限 域 F, = GF(q)， 可 按 相 同 的 方法 构造 椭圆 曲线 , 除了 那些 
必须 考虑 的 最 一 般 的 形式 : 
y+(ctx)y=x+ax*+b〔( 特 征 为 2) 
y= +ax? +bx+c 《特征 为 3) 
当 所 考虑 的 域 〈 如 同上 面 的 Z/P ) 为 R 和 CC 时， 这 样 的 构造 也 是 有 意义 的 。 此 时 ， 我 们 还 
可 以 描绘 出 有 意义 的 曲线 图 像 。 

备注 “还 不 太 明 确 是 否 存在 一 种 合理 的 方法 把 这 些 点 做 成 一 个 群 ， 或 者 这 些 点 上 是 否 存 
在 某 种 自然 的 群 结构 。 事 实 上 ， 的 确 存在 这 样 一 种 自然 的 群 结构 。 

现在 我 们 来 定义 椭圆 曲线 上 的 群 运算 。 考 虑 顶 圆 曲线 已 = {y? =x? +ax+b} ， 稍 后 我 们 将 
用 到 一 个 神秘 的 无 穷 远 点 ， 一 般 记 为 O 。 这 里 暂且 不 解释 如 何 使 其 合理 化 ， 群 的 运算 记 为 
“十 ”。 

。 对 曲线 上 两 个 不 同 的 点 了 和 Q ,这 两 个 点 均 不 为 0 且 有 不 同 的 x- 坐标 。 令 工 是 连接 了 

和 Q 的 直线 , 我 们 可 以 验证 工 与 E 恰 有 3 个 交点 ;其 中 两 个 就 是 P 和 Q ， 令 第 三 个 点 
为 (x,y)， 则 定义 E 上 的 加 法 为 
P+Q=(x,-y) 
e 如 果 点 P 和 Q 有 相同 的 x 坐标， 但 P 关 Q ， 则 定义 
P+Q=O 
e 如 果 P = Q=(x0,y0) 且 yoz0, 令 工 是 在 P 点 与 E 相 切 的 直线 , 并 令 (x,y) 是 L 与 E 的 
第 三 个 交点 ， 则 定义 
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卫 + 卫 = 人 x: 一 ) 

e 如 果 P = (x,0) 是 E 上 的 点 ， 则 定义 Pt+P=0; 

。 对 互 上 的 任意 点 PP ，P+O=O+P=P:; 

e 对 巨 上 的 任意 点 卫 =(x,y) (不 是 O )， 则 -P=(x,-y),， 且 -O=0。 

那么 此 时 我 们 会 产生 如 下 疑问 : 

e 这 个 运算 为 什么 是 正确 的 ? 

e 该 运算 是 如 何 计 算 的 ? 

e 它 为 什么 是 满足 结合 律 的 《例如 …… ) ? 

。 这 种 思想 又 是 如 何 获得 的 ? 

非常 不 幸 的 是 ， 这 些 问 题 没 有 一 个 是 很 容易 解答 的 。 我 们 提出 这 些 问 题 的 目的 仅仅 是 声 
明 这 些 问题 对 进一步 学 习 椭 加 曲线 是 非 重 要 的 。 

备注 ”如 果 我 们 用 普通 的 “ 描 点 作 图 法 ”绘制 出 曲线 的 图 ， 尽 管 看 上 去 几何 语言 是 有 意 
义 的， 但 “切线 ”的 含义 一 点 都 不 明确 ， 比 如 我 们 所 考虑 的 域 为 有 限 域 。 关 键 的 问题 是 “ 直 
线 ” 的 概念 必须 完全 用 代数 的 语言 解释 ， 而 不 是 依赖 于 “几何 上 的 直觉 >。 在 后 面 的 介绍 中 ， 
我 们 还 需要 进一步 解释 “直线 ”为 什么 与 这 样 一 个 三 次 曲线 有 三 个 交点 ? 是 不 是 一 条 直线 与 
一 个 n 次 曲线 就 一 定 会 有 n 个 交点? 

下 面 我 们 来 推导 出 椭圆 曲线 上 两 点 之 和 的 公式 。 设 椭圆 曲线 EE 是 满足 六 =x+ax+b 的 
点 (x,y) 的 集合 ， 给 定 两 点 P= (x,y1) 和 P=(xs,y,)。 人 假定 zy,， 计 算 两 点 之 和 如 下 。 

通过 两 点 (xi,y1) 和 (x,,y,) 的 直线 工 就 是 满足 下 式 的 点 (x%,y) 的 集合 

pap Wp bal 
xX—X 2 一 XI 





对 上 起 变形 即 得 
清二 轧 + (x —x) 
XX 
进一步 变形 为 


y= y2 站 ZJ 二 5 如 
X2 一 如 X2 一 加 
为 简便 起 见 ， 我 们 将 其 记 为 y= 4x+8， 然 后 将 此 式 代 入 三 次 方程 式 即 得 ; 
(4x+ 盏 = 妇 +artb 
重新 整理 这 个 关于 x 的 三 次 方程 即 得 : 
x Ax +(-2AB+a)x+(b-B’)=0 
对 任意 首 项 系数 为 1 的 三 次 方程 ， 二 次 项 的 系数 即 为 方程 根 的 和 的 负数 ， 这 一 点 容易 由 
下 式 得 到 验证 : 
-ox Pr-7) = (a+B+7)x +(0B+ Py +7yo)x- apy 
因此 ， 如 果 三 次 曲线 上 第 三 个 点 的 横 坐 标 为 xuw ， 则 x? 项 的 系数 的 负 值 就 等 于 未 知 的 横 
坐标 mn 加 上 和 x，， 即 
A? = x + Xo + Xoum 


暂且 不 考虑 4 是 什么 ， 我 们 首先 得 出 x 的 表示 式 : 
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将 xun 代入 前 面 的 直线 方程 y= 4x+B， 则 有 


Axs +B= 72 四 


> 一 Xl um XX 
由 定义 ， 取 负 即 得 和 的 维 坐 标 ， 即 
一 X28] 2X 
Jam =- 了 xn 一 ! 2 
22 一 如 X2 一 加 


在 实际 应 用 中 ， 还 需要 用 到 公式 2.P= 了 P+P。 
这 就 是 说 ， 给 定 椭圆 曲线 上 的 点 P=(x,y1)， 令 工 是 E 在 P=(x,y1) 点 的 切线 ， 找 出 


可 
这 个 直线 与 曲线 巨 的 另 一 个 交点 ， 并 将 其 纵 坐标 取 负 ， 即 得 (cu, yun) 。 曲 线 的 斜率 为 让 ， 
我 们 可 以 用 导数 来 计算 : 








2y -这 =3x + 
从 而 
由 -3 +a 
dx 2y 
代入 P 点 的 坐标 值 (xm,y) ， 即 得 
由 _ 3x +a 
ze (x17) 2y 
因此 切线 方程 则 为 
3x +a 
yh = M9) 
1 
或 者 
2 
y= nt) 
1 


同样 将 y 的 值 代入 椭圆 曲线 方程 y?> = x ”+ax+b， 重 新 整理 可 得 到 一 个 关于 x 的 三 次 方程 : 


2 
2 

» + 六 te Ge) =xi+ax+b 
4 





或 者 


2 
-| 于 二 | ( 绕 性 项 和 数 负 =0 


1 


由 于 三 次 方程 的 根 的 和 为 一 次 项 系数 的 负 值 ， 并 且 因为 切线 给 出 了 两 个 交点 ， 所 以 两 个 


根 满足 
2 2 
3xi +a 
Xnew + XI + Xl =| 一 一 
| | 


由 此 即 得 
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2 2 
3xi +a 
Xnew 一 2y —27 
1 


将 xoew 代入 前 面 的 直线 方程 ， 我 们 得 到 


1 1, —xX) 
1 
由 定义 取 负 值 即 可 得 到 和 的 纵 坐 标 ; 
2 
Jsum = -oo 一 六) 
1 


这 就 是 椭圆 曲线 上 一 个 点 P= (wi,y1) 的 两 们 的 坐标 公式 。 注 意 到 这 个 “异样 的 ” 群 运算 
可 由 加 法 、 乘 法 和 求 逆 来 完成 。 

”为 什么 这 种 运算 使 椭圆 曲线 成 为 一 个 群 呢 ?” 这 一 问题 的 关键 部 分 就 是 为 什么 它 是 可 结 
合 的 。 交 换 律 容易 由 公式 验证 。 对 这 个 普通 的 问题 却 有 三 种 形式 的 答案 ， 并 且 没 有 一 个 是 简 
单 的 。 

。 由 复 变 函数 论 我 们 可 以 得 知 ， 复 数 域 上 的 椭圆 曲线 有 一 个 群 法 则 ， 因 为 它 是 复数 域 的 
商 群 。 这 也 仅仅 指出 当 所 讨论 的 域 为 其 他 域 时 ， 应 当 有 一 个 群 法 则 。 学 习 数 学 的 人 在 
关注 有 限 域 上 的 椭圆 曲 线 之 前 ， 最 好 多 学 一 些 复 变 函数 论 以 掌握 复数 域 上 的 椭圆 曲 
线 。 
e 在 射影 几何 理论 中 ， 存 在 一 个 特别 难以 理解 但 又 似乎 是 基本 的 结合 律 证 明 。 按 照 现代 
的 观点 , 这 是 一 个 过 于 专业 化 且 不 是 太 好 的 试图 理解 椭圆 曲线 上 群 法 则 的 方法 。 但 是 ， 
依据 这 些 方 法 的 创设 情况 ， 可 以 给 出 一 个 证 明 。 
e 从 技术 上 看 是 最 困难 的 方法 ， 但 从 长 远 看 它 却 给 出 了 最 清晰 的 观点 ， 这 样 的 方法 在 现 
代 代 数 曲线 理论 中 有 其 理论 根源 ， 特 别 是 在 比较 重要 且 微 钞 的 黎 曼 - 罗 赫 定理 中 。 这 
一 观点 真正 给 出 了 椭圆 曲线 是 一 个 群 的 证 明 ， 并 且 给 出 了 其 他 类 型 曲线 所 涉及 的 思想 
方法 。 
下 面 我 们 来 做 一 些 顶 贺 曲线 上 的 简单 计算 。 令 五 为 域 忆 ,上 的 椭圆 曲线 刀 =x? +x，, 通过 
反复 试验 ， 我 们 找到 曲线 上 的 一 个 点 (1,6) ， 因 为 6: =1+lmod17 。 运 用 椭圆 曲线 上 的 群 法 
则 来 计算 (1,6) + (1,6) =2: (1,6) : 两 点 之 和 的 横 坐 标 


3.2+1Y 1Y 
x -| 王宫 | 站 -2= 亿 -2=0modl7 


而 纵 坐 标 . 





3.12+1 
| 5 je-5-omoar 


因此 ， 
(6) + (1,6) =2. (1,6) = (0,0) 
备注 这 里 的 运算 并 不 是 向 量 的 加 法 或 者 标量 的 乘法 ， 尽 管 看 上 去 有 点 像 。 
继续 在 椭圆 曲线 y? =x) +xmod17 上 计算 
3.:(1,6)= (1,6) +2.:(1,6) = (1,6) + (0,0) 
仍然 运用 前 面 的 公式 ， 
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2 
Xm -9 -1-0=1mod17 


0-1 
2 
Jsum -9 1- 06-01 =1limod17 
0—1 0—1 


继续 : 如 果 我 们 再 计算 (1,6)+ (1,11) ， 则 由 群 法 则 的 一 般 定义 ， 得 到 了 无 穷 远 点 O， 这 表 
明 P 了 =(1,6) 在 群 E 上 的 阶 为 4。 
再 次 通过 试验 法 ,在 由 {x,y):y =x*+xmod17} 给 出 的 椭圆 曲线 上 ， 如 果 包 含 无 穷 远 点 
QO， 我 们 总 共 找 到 了 16 个 点 : 
(0,0) 
(1,+6) 
(3,+8) 
(4,0) 
(6,+1) 
(11,+4) 
(13,0) 
(14,+2) 
(16,+7) 
由 拉 格 朗 日 定理 ，E 中 元 素 的 可 能 阶 为 1、2、4、8、16。 阶 为 1 的 元 素 只 有 元 素 OQ， 有 
三 个 点 的 纵 坐 标 为 0， 即 (0,0) 、(4,0) 、(13,0) ， 由 定义 它们 是 阶 为 2 的 元 素 。 
通过 试验 我 们 还 发 现 
2.(1,+6) = (0,0) 
2.(3,+8) = (13,0) 
2.(6,+1) = (13,0) 
2.(11,+4) = (4,0) 
2.(6,+1) = (13,0) 
2.(14,+2) = (4,0) 
2.(16,+7) = (0,0) 
由 此 ， 这 些 点 的 阶 为 4， 故 E 上 没有 8 阶 的 元 素 ， 也 没有 16 阶 的 元 素 。 


28.4 ”无 穷 远 点 


为 了 使 无 穷 远 点 更 为 合理 ， 我 们 可 以 放大 平面 ， 使 它 更 适合 于 多 项 式 方程 和 代数 曲线 的 
研究 。 具 体 如 下 ， 设 大 为 任意 域 ， 包 括 C 和 R 以 及 有 限 域 F。 设 所 为 由 k 的 有 序 n 元 组 构 
成 的 空间 ， 这 是 一 个 仿 射 n 空间 。 

令 Q={(x,y,z)e 忆 :x,y,z 不 全 为 0}， 即 QQ 为 如 去 掉 (0,0,0) 。 在 Q 上 定义 一 个 等 价 关系 
中 (x,y,2) 中 (x,y',z)， 如 果 对 某 个 14ek* ， 有 (x,y,z) =(ax az 。 那 么 上 上 的 射影 平 
面 忆 定义 为 O 上 等 价 类 的 集合 ， 





P’?=Q /0 
华 标 (x,y,z) 就 是 P? 中 点 的 齐 次 坐标 。 
比如 大 =Q ， 使 用 了 上 的 齐 次 坐标 ， 
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{1,2,3) 一 (48,12) 一 (—1,-2,—3) 
(0,2,0) 一 (0.0) 一 (0,-10) 
通过 映射 (x,y) 忆 (x,y,1)， 仿 射 平面 e? 可 以 嵌入 到 平面 P? 上 。 注 意 到 (xD (x', yD ， 
当 且 仅 当 (x,y)=(x',y')。 
因此 ， 比 如 仿 射 平面 上 的 点 (3,4) ， 在 射影 平面 P* 上 用 齐 次 坐标 表示 则 为 (3,4,1)。 
无 穷 远 直线 就 是 P? 中 点 (x,y,z) 且 z#0 的 集合 。 注 意 到 仿 射 平面 及 的 嵌入 平面 上 不 存 
在 这 样 一 个 点 ， 因 此 不 论 它们 是 什么 ， 它 们 总 是 存在 于 普通 的 平面 之 外 。 
射影 空间 上 的 曲线 。 我们 介绍 了 的 动机 就 是 使 初等 几何 中 的 陈述 变 得 平滑 且 对 称 ， 比 如 
在 普通 的 平面 R* 上 ， 任 何 两 条 “不同 的 ) 直线 恰好 相交 于 一 点 ， 除 非 它们 平行 。 这 就 有 一 
点 不 对 称 ， 我 们 可 以 修正 它 。 我 们 可 以 说 两 条 平行 直线 相交 于 无 穷 远 点 ， 当 然 这 没有 什么 实 
质 内 容 ， 但 我 们 可 以 用 P? 理解 它 的 含义 。 
由 直线 工 的 方程 
ax+by+c=0(a,b 不 能 全 为 0) 
我 们 可 以 构造 相伴 的 齐 次 方程 
ax+by+cz=0 
该 方程 具有 这 样 的 性 质 ， 如 果 (x, y,z) 满足 方程 ， 则 对 任何 4ek” ，(Ax, 和 ,家 ) 亦 满足 方程 。 
即 齐 次 化 的 方程 定义 了 射影 空间 P 上 的 一 条 曲线 了 ， 而 且 我 们 希望 它 在 妇 嵌入 到 平面 P? 的 
作用 下 ， 原 来 的 直线 上 被 映射 为 的 一 个 子 集 。 
那么 在 过 的 扩展 形式 Z 上 ， 无 穷 远 点 是 什么 呢 ? 这 需要 我 们 来 考查 me+ 录 +cz=0 且 
z=0 的 解 ， 也 就 是 要 考查 ax+by=0。 因 为 a,b 不 能 全 为 0， 不 失 一 般 性 ， 假 设 bz0， 则 得 
y=(-a/b)x 
由 此 我 们 得 到 上 的 点 
(x,—ax/b,0) 一 (1, ~a/b,0) 
即 这 是 对 同一 个 点 的 不 同 齐 次 坐标 表示 : 在 给 定 的 直线 上 存在 一 个 无 穷 远 点 。 
所 以 我 们 有 如 下 平滑 对 称 的 论断 : 
定理 ”射影 平面 P* 上 任何 两 条 〈 不 同 ) 直线 恰好 相交 于 一 点 。 
证 明 设 P? 上 两 条 直线 为 (按照 齐 次 坐标 表示 ) 
axt+by+cz=0 
ax+by+cz=0 
假设 这 两 条 直线 是 不 相同 的 ， 这 一 点 可 以 验证 ， 实 际 上 需要 验证 (a,5,c) 不 是 (a',b'c") 的 标量 
乘 (等 价 地 ，(a',b'ce') 也 不 是 (a,6,c) 的 标量 乘 )。 我 们 必须 求解 方程 组 以 得 到 交点 的 坐标 
(x, yz) 。 
由 基本 的 线性 代数 知识 ， 我 们 需要 寻找 满足 下 式 的 向 量 (x, y,2): 
(x, y,2): (a,b,c)=0 
(x,y,2):(a',b',c')=0 
这 里 的 运算 “。” 为 普通 的 点 积 。 由 实数 域 上 的 线性 代数 的 知识 , 我 们 希望 (a,6,c) 和 (a',b',c') 
的 叉 积 是 一 个 解 ， 即 
(x,y,2) = (bc' — b'c,—ac' +a'c,ab’' — a'b) 


实际 上 ， 我 们 发 现 
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apc —b'c)+b(-ac’ +a'‘c)+c(ab'’—a'b)}=0 
a'(be’'—b'c)+b'(-ac’ +a'c)+ce'(ab’~a'b)=0 
注意 到 (a,b,c) 和 (a',b',c') 之 间 不 存在 标量 乘 关 系 ， 因 此 这 使 得 
(x, y,2) = (bce'—b'c,—ac’ +a'c,ab' — ba'’) 


不 可 能 为 (0,0,0) 。 
进一步 的 考查 还 表明 ， 所 有 解 的 集合 恰好 是 这 个 解 的 标量 乘 的 集合 。 因 此 ,考虑 到 有” 上 
所 定义 的 等 价 关 系 ， 只 有 惟一 的 解 。 3 


28.5 射影 椭圆 曲线 
由 方程 y= x? +ax+b 所 确定 的 椭圆 曲线 有 一 个 齐 次 形式 ， 


yz2=Xx +axz :+bz’ 

我 们 给 每 一 项 插入 关于 z 的 因子 ， 使 每 一 项 的 次 数 都 为 3。 这 样 做 的 结果 是 ， 如 果 (x,y,z) 满 
中 方程 ， 则 对 任意 4e 1* ，(Zx, 罗 ,和 ) 亦 满足 方程 。 

我 们 感 兴趣 的 一 个 问题 就 是 无 穷 远 点 是 否 在 扩展 的 椭圆 曲线 上 : 令 z=0, 即 求解 如 下 方 
程 

0.y =x +ar.0 :+b:0 或 者 x”=0 

因此 惟一 的 无 穷 远 点 由 齐 次 坐标 (0,1.0) 给 出 。 这 就 是 O， 椭 圆 曲 线 上 和 群 法 则 中 的 单位 元 。 

这 样 ， 我 们 得 到 了 射影 坐标 表示 的 椭圆 曲线 上 的 群 法 则 。 考 虑 由 

y z= +axz +bz’ 

的 齐 次 坐标 给 出 的 椭圆 曲线 ,给 定 扩展 的 椭圆 曲线 上 的 两 个 不 同 点 (x,y,z) 和 (x',y',z)， 令 
(a,b,c) 为 通过 这 两 个 点 的 直线 二 的 系数 ， 这 些 系数 可 由 下 面 两 个 式 子 确定 : 


axt+by+cz=0 





ax'+by'+cz'=0 
因为 (x,y,z) 和 (x',y',z) 是 P? 上 不 同 的 点 ， 所 以 这 个 方程 组 的 所 有 人 解 (4,5,c) 之 间 存 在 标量 乘 
关系 ， 这 样 就 得 到 了 P?* 上 的 一 条 直线 工 。 
L 写 椭 加 曲线 的 交点 为 (x， ,ys,Z;) (计算 方法 同 前 )， 因 此 由 yy- 赃 标 取 负 值 即 得 两 点 之 和 
的 定义 : 
(X,y,2) +(x,y", 2") = (Xs,—ys, 2s) 
2 了 的 一 般 公式 也 可 以 用 类 似 的 方法 得 到 。 


第 29 章 “有 限 城 的 更 多 知识 


迄今 我 们 所 讨论 的 有 限 域 以 及 系数 在 这 些 域 上 的 多 项 式 ， 如 果 只 着 眼 于 计算 的 目的 ， 可 
以 说 是 足够 了 ， 但 要 做 出 进一步 的 解释 就 有 点 欠缺 。 从 长 远 的 观点 和 目的 出 发 ， 我 们 还 需要 
很 多 这 方面 的 知识 。 本 章 我 们 将 从 略微 大 一 点 且 更 加 抽象 的 观点 来 考查 有 限 域 的 构造 。 这 不 
是 绝对 必要 的 ， 但 它 可 以 帮助 我 们 理解 有 限 域 存在 的 模式 以 及 本 质 ， 而 不 是 对 这 些 概 念 和 理 
论 仅 有 一 个 无 序 的 认识 。 

这 些 理 论 化 的 进展 也 仅仅 是 我 们 的 最 低 要 求 。 本 章 所 讨论 的 域 理论 专门 适用 于 有 限 域 的 
情况 ， 而 且 这 里 的 讨论 也 是 非常 有 限 的 。 另 一 方面 ， 要 给 出 域 理论 的 一 般 介绍 则 可 能 需要 更 
多 的 时 间 和 篇 幅 。 


29.1 交换 环 上 的 理想 


交换 环 上 理想 的 概念 是 数 的 概念 的 一 种 推广 。 实 际 上 ， 最 初 有 一 个 非常 接近 的 概念 ， 称 
为 理想 数 ， 它 就 是 扩展 了 数 的 通常 概念 。 这 个 短语 从 现在 开始 简称 为 “理想 ”。 

设 R 是 单位 元 为 1 的 交换 环 。RR 的 一 个 理想 是 RR 的 一 个 子 集 1， 使 得 

e 对 所 有 的 reR 和 ieI， 有 r.iel。( 对 环 中 元 素 的 乘法 封闭 ) 

。 对 所 有 的 i, jeI， 有 i+t er。( 对 加 法 封闭 ) 

e 对 所 有 的 ;se7， 有 -ie7 。( 对 加 法 逆 封 闭 ) 

e OeR, 

第 二 、 第 三 和 第 四 个 条 件 可 以 概述 为 在 加 法 运算 下 ， 要 求 了 是 尺 一 个 子 群 。 第 一 个 条 件 
似乎 有 一 点 特别 。 首 先 , 这 个 要 求 比 起 了 是 尺 一 个 子 环 的 要 求 要 强 一 点 , 因为 这 里 要 求 1 对 RR 
中 的 元 素 的 乘法 是 封闭 的 ， 并 不 仅仅 局 限于 / 自身 的 元 素 。 

例子 ”基本 的 例子 如 下 ， 在 环 Z 中， 对 于 任意 给 定 的 整数 n， 包 含 所 有 nn 的 倍数 的 集合 
n:Z 是 一 个 理想 。 实 际 上 ， 如 果 x=mn 为 一 个 n 的 倍数 ,并且 如 果 xreZ ， 则 
.X=r(mn) = (rm)n 仍然 为 一 个 n 的 倍数 。 同 样 地 ，n: 艺 包含 0 ， 它 对 求 和 封闭 且 对 加 法 道 
封闭 。 

例子 ” 设 R=k[x] 为 变 元 为 x 且 系 数 在 域 t 中 的 多 项 式 环 。 给 定 一 个 多 项 式 P(x) ， 令 
TCR 为 所 有 P(x) 倍 式 M(x). P(x) 的 集合 。 了 是 一 个 理想 ， 其 验证 步骤 形式 上 等 同 于 前 面 的 
例子 。 

例子 “不同 于 前 面 两 个 例子 ， 这 里 给 出 一 个 抽象 的 例子 。 设 只 是 任意 单位 元 为 1 的 交换 
环 , 且 给 定 neR。 则 所 有 包含 的 倍数 的 集合 1 = n.R= {rn:r eR} 是 一 个 理想 , 称 为 由 nn 
生成 的 主 理想 。 同 样 可 以 证 明 它 是 理想 ， 这 样 的 理想 称 为 主 理想 

例子 ”在 任意 环 上 ， 平 凡 理 想 就 是 指 1={0} 和 J=R。 为 了 和 数学 中 典型 的 用 法 一 致 ， 
我 们 称 一 个 理想 是 真理 想 ， 如 果 它 既 不 是 理想 {0} ， 也 不 是 整个 环 尺 。 

下 面 的 命题 是 一 个 重要 的 基本 原理 。 
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命题 ” 设 了 是 单位 元 为 1 的 交换 环 刃 的 理 根 ， 如 果 了 包含 任意 的 元 素 xsR 及 ， 则 了 = 及 。 

证 明 假设 1 包含 ue R*，4 是 一 个 单位 即 意味 着 存在 一 个 4 的 乘法 逆 元 uw! ， 对 于 任意 
的 reR， 
r=r:1=r:(4 uM) = ) 
这 也 就 是 说 + 是 的 倍数 。 因 为 7 是 一 个 理想 ， 它 必定 包含 u 的 每 个 倍数 ， 所 以 了 包含 + 。 因 
为 这 一 结论 对 每 个 元 素 r eR 都 成 立 ， 所 以 R=I。 他 

推论 。 设 是 多 项 式 环 k[x] 的 一 个 理想 ， 左 为 一 个 域 。 如 果 了 包含 任何 非 零 的 “常数 ” 
多 项 式 ， 则 7 = Kk[x]。 

证 明 ”如果 我 们 能 够 验证 非 零 常数 多 项 式 是 单位 《 即 有 一 个 乘法 逆 元 )， 则 可 由 前 面 的 
命题 直接 得 到 结论 。 实际 上 , 对 aek 且 az0， 因 为 k 是 一 个 域 , 存在 a ! ekck[x]。 因 此 a 
在 多 项 式 环 k[x] 中 是 可 逆 的 。 全 

我 们 可 以 利用 以 前 用 于 陪 集 的 记号 ， 这 样 可 使 理想 的 表示 更 加 简洁 。 对 于 环 尺 的 两 个 子 
集 X,Y， 记 

X+rY={x+y:xeX,y er} 


XX 了 = XY={ 有 限 和 iviy, :x E X,Y ery} 


注意 在 环 论 中 ,记号 X.Y 的 含义 与 群 论 中 的 含义 不 同 。 我 们 可 以 说 交 撞 环 让 的 理想 本 是 一 个 
加 法 子 群 ， 且 使 得 RI CT 。 

命题 Z 的 每 个 理想 都 是 主 理想 ， 即 它 具 有 7= 7 也 的 形式 。 特 别 地 ， 使 得 这 一 命题 成 
立 的 整数 4 是 了 的 最 小 正 整 数 ， 除 非 T={0}。T={0} 时 ，n=0。 

证 明 如 果 7 = 和}， 则 当然 有 =Z.0， 结 论 自然 成 立 。 假设 是 非 零 的 ， 因 为 1 对 取 加 
法 道 是 封闭 的 ， 如 果 了 包含 x<0 ， 则 它 也 包含 -x>0 。 所 以 一 个 非 平凡 的 理想 7 包含 一 些 正 
的 元 素 。 设 n 是 了 的 最 小 元 素 ，xe7 ， 则 利用 除法 算法 可 以 得 到 gq,r eZ， 且 0<r<n， 满 足 


X=qg:n+r 
qn 仍然 属于 了 ， 那 么 -qn 也 属于 了。 因为 r =x 一 gn， 我们 断定 re 了。 因为 n 是 1 中 的 最 小 正 
元 素 ， 所 以 必 有 r=0 。 因 此 x= gnen.Z， 命题 得 证 。 曲 


命题 设 为 一 个 域 , 令 RR=k[x] 是 变 元 为 x 且 系数 在 域 上 中 的 多 项 式 环 ， 则 愉 的 每 个 理 
想 7 都 是 主 理想 , 也 就 是 对 某 个 多 项 式 已 , 它 具 有 7 了 = Kk[x]: P(x) 的 形式 。 特别 地 ，P(x) 是 了 中 
次 数 最 小 的 首 一 多 项 式 ， 除 非 T={0} 。I = 人} 时 ，P(x)=0。 

证 明 如 果 7={0} ， 则 当然 有 7=K[x]-0 ， 结 论 自然 成 立 。 假 设 1 是 非 零 的 ， 令 
Q(x) = asx”+.…+ao 是 7 中 的 多 项 式 , 且 a, #0。 因为 为 一 个 域 , 所 以 a 有 一 个 道 元 素 a : 。 
又 因为 7 是 一 个 理想 ， 则 多 项 式 

P(x)=a, -Q(X) =x" +a, a ix"! +...+ a-lao 
也 属于 7 。 也 就 是 在 了 中 确实 存在 一 个 次 数 最 小 的 首 一 多 项 式 。 令 xs 了 ， 利 用 除法 算法 我 们 
得 到 OQ,Rekfx]，degR<degP 以 及 
x=O:P+R 
2.P 属 于 7， 当 然 有 -O.PEs7。 因 为 R=x-C.P， 我 们 断定 Re7 。 因 为 已 是 7 中 次 数 最 小 
且 首 一 的 多 项 式 ， 则 必 有 R=0。 因 此 ，x =Q.Pen.k[lx]。 
命题 得 证 。 » 
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备注 “这 两 个 命题 的 证 明 经 过 抽象 后 可 用 来 证 明 欧 几 里 得 环 中 的 每 个 理想 都 是 主 理想 。 
例子 ” 设 R 是 单位 元 为 1 的 交换 环 ， 给 定 两 个 元 素 x,yeR， 则 
I=R:.x+R.y={rx+ sy:r,s eR} 
是 的 一 个 理想 。 验 证 步骤 如 下 ， 首 先 ，0=0.x+0.y， 所 以 0e7; 其 次 ， 由 于 
一 (rx+ sy)=(-r)x+(-s)y ,所 以 7 对 取道 是 封闭 的 ; 第 三 , 对 了 中 的 两 个 元 素 yx+sy 和 y+s'y 
Cr,r',$,S' ER) 我 们 有 
(rxt+sy)+(rx+sy)=(r+r)xt(s+s)y 
所 以 I 对 加 法 是 封闭 的 ， 最 后 ， 对 于 rx+syel 《r,seR) 和 PEeR， 我 们 有 
rrx+sy)=(rr)x+(r's)y 
所 以 R.7c7 。 央 为 这 种 类 型 的 7 的确 是 一 个 理想 。 两 个 元 素 x,y 是 1 的 生成 元 。 
例子 ”同一 面 的 例子 类 似 ， 给 定 交 换 环 R 的 元 素 ， 我 们 可 以 构造 如 下 形式 的 理想 : 
T=R.x t+.…+R:x,o 
例子 ”利用 我 们 已 知 的 较 小 的 理想 ， 可 以 按照 如 下 方式 构造 新 的 更 大 的 理想 。 设 了 是 交 
换 环 RR 的 一 个 理想 ，xe R， 则 令 
J=R.xt+I={rxti:reR,iel])} 
我 们 来 验证 J 是 一 个 理想 。 首 先 ，0=0.x+0， 所 以 0eJ; 其 次 ，-(rx+i)=(-7n)x+(-i)， 
所 以 J 对 取道 是 封闭 的 ， 第 三， 对 于 J 中 的 两 个 元 素 rx+i 和 rx+i (r,r'eR 且 i,iel1), 我 
们 有 
| (rx+D)+(rx+) =r+r)x+(i+i) 
所 以 J 对 加 法 是 封闭 的 ， 最 后 ， 对 rx+tieJ，reR，iel 以 及 r'eR， 
r(xti)=(rr)x+(r") 
所 以 R.J cc J。 因此 这 种 类 型 的 集合 J 的 确 是 一 个 理想 。 
备注 在 我 们 已 经 知道 每 个 理想 都 是 主 理想 的 情况 ， 如 Z， 前 面 的 构造 方法 不 会 产生 更 
加 一 般 的 理想 。 
备注 在 某 些 环 中 ， 并 非 每 个 理想 都 是 主 理想 。 人 也 就 是 有 一 些 理想 不 能 被 表示 为 R.x 。 
这 种 情况 的 例子 如 下 。 设 
R={a+by-5:a,beZ) 
不 难 验证 这 是 一 个 环 。 令 1={x-2+y.(1+V-5):x,ye R}， 稍 加 注意 我 们 就 会 发 现 这 个 理想 
不 是 主 理想 。 这 一 现象 与 在 该 环 中 不 能 进行 惟一 因子 分 解 关系 十 分 密切 。 比 如 ， 我 们 明显 可 
以 得 出 两 个 不 同 的 分 解 ， 
2.3=6=(1+V-5):0d-V-5) 
(四 个 数 2,3,1+V~5,1-V-5 都 是 “素数 ”但 它们 在 环 中 不 能 更 进一步 地 分 解 。》 这 些 现 
象 的 产生 ， 促 进 了 历史 上 代数 数论 的 发 展 。 
备注 在 非 交换 的 环 尺 上 ， 存 在 三 种 不 同 的 理想 。 一 个 左 理想 7 是 一 个 加 法 子 群 ， 使 得 
RCI ， 一 个 右 理 想 是 一 个 加 法 子 群 ， 使 得 琢 CI ， 而 一 个 双边 理想 也 是 一 个 加 法 子 群 ， 使 
得 应 + IR CJT 。 通 常 我 们 仅 关 注 交换 环 上 的 理想 ， 所 以 经 常 忽 略 这 些 因 素 。 


习题 
29.1.01 设 N 是 一 个 整数 ， 详 细 证 明 Y.Z 是 Z 的 一 个 理想 。 
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29.1.02 找 出 Z/16 中 的 所 有 理想 。 

29.1.03 找 出 Z/10 中 的 所 有 理想 。 

29.1.04 找 出 Z/5 中 的 所 有 理想 。 

29.1.05 设 7,J 是 环 R 的 两 个 理想 ， 证 明 I1 门 7 也 是 的 一 个 理想 。 

29.1.06 设 1,J 是 环 R 的 两 个 理 棚 ， 令 1+J={i+j:iel,jeJ}， 证 明 1+J 是 一 个 理想 。 

29.1.07(*) 证 明 有 两 个 变 元 x,y 且 系 数 在 有 限 域 F, 上 的 多 项 式 环 F[x,y] 不 是 一 个 主 理 
想 整 环 。 


29.2 ” 环 同 态 


与 群 同 态 十 分 类 似 ， 环 同 态 是 一 个 环 到 另 一 个 环 并 且 保持 环 的 结构 的 映射 。 准 确 地 说 ， 
一 个 环 同 态 :RS 是 一 个 环 R 到 另 一 个 环 5 的 映射 ， 并 且 使 得 对 所 有 的 r,r'eR， 有 
f(r+rr)= /7)+ f(r") 
fr)= fr) f(r") 
也 就 是 说 /保持 了 环 的 加 法 和 乘法 运算 。 一 个 环 同 态 如 果 是 双 射 ， 那么 它 就 是 一 个 同 构 。 在 
整个 环 理论 的 介绍 中 ， 两 个 同 构 的 环 在 结构 上 可 以 被 视 为 “相同 的 ”。 
正如 在 群 和 群 同 态 的 讨论 中 一 样 , 我 们 也 不 希望 用 不 同 的 记号 来 表示 两 个 不 同 的 环 有 和 
S 定义 中 的 加 法 和 乘法 。 因 此 ， 同 态 f 将 中 的 加 法 转换 为 S 中 的 加 法 ， 也 同样 将 RR 中 的 乘 
法 转换 为 § 中 的 乘法 。 
非常 类 似 于 群 中 的 情况 ， 环 同 态 f:R 一 5 的 核 为 ker f= {reR:f(r)=0}， 这 里 的 0 应 
当 是 S 中 的 加 法 单位 元 。 . 
例子 最 基本 的 环 同 态 的 例子 为 :ZZ/n， 其 定义 为 f(x)=x-mod-n。 了 只 所 以 
是 环 同 态 ， 原 因 是 我 们 有 如 下 两 个 等 式 : 
(x-mod-—n)+(y—mod—n)=(x+y)-imod-n 
(x—-mod—n):(y~mod—n)=(x:y)-mod—n 
尽管 这 种 叫 法 稍微 有 一 点 误导 ， 但 我 们 仍 称 这 个 同 态 为 模 m 约 简 同 态 。 
命题 ”任意 环 同 态 f :R 一 5 的 核 是 R 的 一 个 理想 。 
证 明 设 x 是 环 同 态 f:R 一 S 的 核 中 的 一 个 元 素 ，r eR， 则 
fx)= f(r)f (x)= f(r):0=0 
因为 我 们 已 经 证 明 在 环 中 任意 元 素 乘 以 0 均 得 到 0 。 因 此 rx 就 是 了 的 核 中 的 元 素 。 对 于 核 中 
的 两 个 元 素 x,y ， 我 们 有 
f+ty)= f(x)+f(y)=0+0=0 
也 就 是 说 x+y 也 属于 核 。 又 因为 f(0)=0 ， 所 以 0 属于 核 。 对 于 核 中 的 元 素 x ， 由 于 
f(-x)= 一 f(x)=-0=0， 所 以 -x 也 在 核 中 。 因 此 ， 环 同 态 了 :R->5 的 核 是 R 的 一 个 理想 。 多 
例子 “有 一 些 在 实际 应 用 中 非常 重要 的 同 态 , 称 为 赋值 同 态 或 代替 同 态 , 具体 描述 如 下 。 
设 R 为 一 个 交换 环 ，R[x] 为 有 一 个 变 元 x 且 系 数 在 R 上 的 多 项 式 环 。 给 定 nn eR， 我 们 将 给 
多 项 式 赋值 r, ， 或 者 等 价 地 说 ， 用 来 代替 多 项 式 中 的 x 。 这 么 做 的 含义 是 什么 昵 ?” 这 也 就 
是 将 多 项 式 
P(X)=ax" + arix"! ++ Ax +axt+ao 
映射 到 


-1 2 
Po) = ai7 +a ”+… 二 ao +amm+ao 
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我 们 用 e, 来 表示 这 个 映射 ， 它 就 是 一 个 赋值 映射 

。 赋值 映射 e。: RIx] -> R 是 一 个 由 多 项 式 环 R[x] 到 环 的 同 态 。 

备注 在 证 明 这 个 结论 之 前 ， 注 意 到 我 们 的 经 验 会 让 我 们 希望 这 个 映射 真正 是 一 个 环 同 
态 ， 实 际 上 ， 我 们 知道 给 两 个 多 项 式 的 积 或 和 赋值 ， 我 们 可 以 单独 给 它们 先 赋值 然后 再 相 乘 
/ 相 加 ， 或 者 先 相 乘 / 相 加 然后 再 赋值 。 这 个 赋值 的 确 是 一 个 环 同 态 。 

证 明 这 里 需要 使 用 有 效 的 记号 , 设 PCO = 》 ax ,Q(x) = y bx 为 两 个 系数 在 环 交换 


Osism Os<isn 


R 中 的 多 项 式 。 首 先 我 们 来 证 明 在 ne R 的 赋值 映射 e, 保持 加 法 运算 ; 


ar9- 吉 Ze Co 
-0 ry 二 rd =e€, (P)+e, (QO) 


这 里 ， 对 于 指标 超出 了 系数 所 定义 的 范围 我 们 令 a, =0 且 六 =0。 这 样 我 们 就 证 明了 赋值 
映射 是 保持 求 和 运算 的 。 对 于 乘法 ， 我 们 有 : 
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这 就 证 明了 赋值 映射 保持 乘法 。 因 此 赋值 映射 的 确 是 一 个 环 同 态 。 > 

命题 设 /:R->S 是 一 个 环 同 态 ，0k,0s 分 别 是 R 和 5 的 加 法 单位 元 ， 则 /(04)=0。。 
也 就 是 说 ， 在 环 同 态 的 作用 下 ， 一 个 环 的 加 法 单位 元 的 像 总 是 “目标 ” 环 的 加 法 单位 元 。 

证 明 首先 由 群 同 态 的 定义 ， 我 们 有 (0Os)+ FOR) = f(0gk +0r)。 而 由 环 R 上 加 法 单位 
元 的 性 质 ， 有 0k + 0r = 0k， 进 一 步 有 7(0k +0k) = (0 ) 。 综 合 起 来 我 们 就 有 

J (OR)+ f(0R)= f (Or +0r)= On) 
给 上 面 的 等 式 两 边 加 上 一 了 (0): 
(Ff(O0g)+ 7(0g)) -Ff(0r)= f(0r)— f(0r)=08 
最 后 一 个 等 式 使 用 了 加 法 道 元 的 定义 ， 利 用 加 法 结合 律 ， 我 们 有 
(fOr)+ f(Og) ~ fO0R)= FOR)+ FOR) ~ f(08) = f(0g)+0s = Op) 
再 一 次 将 两 个 等 式 结合 起 来 ， 即 得 f(0) =0s。 2 
e 设 f:R 一 5S 是 一 个 满 射 的 环 同 态 ， 假 设 R 有 一 个 乘法 单位 元 1。 ， 则 8 有 一 个 乘法 单 
位 元 ls， 并 且 f(1n)=1s。 

备注 注意， 不 像 前 面 有 关 加 法 单位 元 的 讨论 ， 这 里 做 出 了 进一步 的 假设 ， 即 需要 满 射 
性 ， 否 则 结论 就 可 能 不 成 立 。 

证 明 ”给 定 seS，, 令 reR 朋 使 得 f(r)=s， 则 

f(r):s= fr) f= fpr) = /00)=s 

因此 ， 了 (1%) 的 作用 就 像 是 S 中 的 单位 元 ， 由 已 经 证 明 的 单位 元 的 惟一 性 ， 必 有 Gd) =1v。 
这 就 证 明了 命题 。 全 

备注 ”这 里 必须 注意 ， 在 一 个 环 同 态 f :RS 的 作用 下 ， 乘 法 单位 元 1 的 像 不 一 定 就 
是 8 的 乘法 单位 元 1 .比如 ,我 们 定义 一 个 环 同 态 A:Q -> $ , 这 里 的 Q 为 有 理 数 环 , 8 为 2x2 
有 理 数 矩阵 环 ， 有 具体 的 映射 为 
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f(0)= E ,| 
0 0 


则 我 们 发 现 1 的 像 为。 中 但 是 环 $ 的 对 法 单 位 元 吉 是 [ 中 

在 一 些 交 换 环 中 也 存在 这 样 的 例子 ， 即 在 环 同 态 的 作用 下 单位 元 的 像 却 不 是 单位 元 。 比 
如 ， 令 R=Z/3，8=Z/16， 定 义 丸 到 5S 的 映射 如 下 : 

f(rmod3)=4rmod6 
我 们 来 验证 这 个 定义 是 有 意义 的 : 如 果 xr=r'mod3, 则 3|(4r 一 4r”) 且 2|(4r 一 4r”)， 所 以 能 
得 到 6|4(r -六 ， 即 4r = 4r'mod 6 。 我 们 再 来 验证 这 是 一 个 同 态 ， 
f(xt+y)= xt+y) =4r+4y= 70 + f(y) 
实际 上 ， 这 对 任何 数 都 成 立 ， 而 不 仅仅 是 4。 再 来 看 f 是 否 保持 乘法 运算 ， 实 际 上 运用 
4.4=4mod6 这 一 特性 ， 我 们 有 
fx:y)=4x.y)=(4.4)(x.y) =(47).(47) = f(x) f(y) 

因此 了 是 一 个 同 态 。 但 是 AQ) =4=>lmod6 。 


习题 


29.2.01 给 定 整 数 和 NN >1,， 详细 证 明 由 Aloo =x+NZ 给 出 的 映射 f:Z ->Z7NZ 是 一 个 环 
同 态 。( 我 们 已 经 知道 这 总 是 成 立 的 。) 

29.2.02 设 f:R 一 5S 是 一 个 满 射 的 环 同 态 ( 为 简化 R,S 为 交换 的 ), 令 7 是 尺 的 一 个 理想 ， 
证 明了 ={f(Q):ie} 是 5 的 一 个 理想 。 

29.2.03 设 f:R 一 5S 是 一 个 环 同 态 (为 简化 R,S 为 交换 的 ), 令 J 是 了 的 一 个 理想 ， 证明 
T={tieTresR:rne 几 是 8 的 一 个 理想 。 

29.2.04(*) 证 明 2X2 有 理 数 矩 阵 环 尺 中 的 两 个 双边 理想 只 可 能 是 {0} 和 整个 环 R 本 身 。 


29.3 ” 商 环 


现在 我 们 来 给 出 一 种 由 已 知 的 环 构造 新 环 的 方法 ， 其 中 的 一 种 特殊 情况 就 是 由 整数 环 忆 
构造 Z /pm。 设 尺 是 一 个 单位 元 为 1 的 交换 环 ， 了 是 尽 的 理想 ， 商 环 R/7 〈《R 模 I) 定义 为 陪 
集 的 集合 : 

r+i={r+i:iel} 
我 们 定义 R/1 上 的 加 法 和 乘法 运算 如 下 : 
(r+D)+(s+7D)=(r+s)+1 
(r+D:(s+1)=(r:s)+1 
这 个 商 环 中 的 零 元素 为 0p,; = 0+7 ， 而 单位 元 则 为 1 =1+7。 

例子 ”最 常见 的 例子 为 Z/n， 只 不 过 这 里 的 理想 /为 n:Z。 

但 是 , 正如 我 们 必须 验证 Z /n 上 的 加 法 和 乘法 运算 是 明确 定义 的 一 样 , 在 这 里 我 们 也 必 
须 验 证 R/T 上 的 加 法 和 乘法 运算 是 明确 定义 的 .有 一 个 问题 就 是 这 里 对 集合 r +7 有 不 同 的 叫 
法 ， 而 我 们 需要 所 谓 的 乘法 和 加 法 不 依赖 于 陪 集 的 中 法 ， 即 仅 关 注 它 们 的 真正 含义 。 这 也 正 
是 定义 的 明确 性 所 要 求 的 。 

假设 r+7=m+7，s+7=3+7， 也 就 是 有 两 个 陪 集 ， 每 一 个 均 以 不 同 的 方式 来 表示 ， 
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为 了 证 明 所 定义 的 加 法 是 明确 的 ， 我 们 需要 验证 : 
(r+s)jtI=(r +s)+I/ 
而 为 了 证 明 我 们 所 给 出 的 乘法 定义 的 明确 性 则 需要 验证 : 
(rs)tI=(r 5s)+1 
因为 r+T=r'+7， 特 别 地 ，r'=r'+Qer+1， 所 以 r' 可 以 被 表示 为 r =r+i， 对 某 个 ieT。 
类 似 地 ， 对 某 个 je7T，s'=s+j。 于 是 有 
(r+s)+1=(r+itst+))+I=(r+s)+(i+j+7) 
和 k=i+j 为 1 中 的 元 素 。 我 们 断言 对 任何 keT， 有 k+7=1。 我 们 来 证 实 这 个 断言 ,因为 I 
对 加 法 是 封闭 的 , 所 以 上 +7TC7T。 另 一 方面 , 对 任意 的 xe 了， 可 以 将 其 表示 为 x=k+(x 一)， 
而 x-Ks7， 所 以 KE+7D7。 因 此 上 +7=7。 由 此 ， 
(r+s)+1=(r+s)+1 
这 就 证 明了 商 环 上 加 法 的 定义 是 明确 的 。 类 似 地 ， 我 们 来 考虑 乘法 ; 
(rs)+tl=(r+D):(S+))+T=(r:.s)+ (r+sit/) 
因为 1 一 个 理想 ， 所 以 x 和 si 均 eIT， 那 么 wi+sie] 。 因 此 ， 同 前 面 讨论 加 法 时 一 样 ， 
n+sitl=1。 由 此 ， 
(r-:s}+I=(r':.s)+1 
所 以 商 环 上 的 乘法 的 定义 也 是 明确 的 。 
0+ 是 商 环 的 零 元 素 以 及 1+/ 是 它 的 单位 元 的 证 明 是 类 似 的 。 
类 似 地 , 我 们 也 有 商 同 访 gq :R > R/T ， 这 个 映射 自然 就 是 g(r) =r+I。 事实 上 刚才 的 讨 
论 已 经 证 明了 这 一 点 。 
命题 “对 于 一 个 交换 环 R 及 其 理想 1 ， 商 映射 R -> R/1 是 一 个 环 同 态 。 4 


29.4 极 大 理想 和 域 


现在 我 们 来 考虑 用 极 大 理想 的 商 构造 域 。 这 是 一 种 基本 的 构造 方法 。 设 是 一 个 单位 元 
为 1 的 交换 环 ，R 中 的 一 个 理想 M 是 极 大 理想 , 如 果 MM 关 尺 并 且 如 果 对 其 他 任意 理想 1 M ， 
则 必 有 7=R 。 也 就 是 说 ，M 是 极 大 理想 ， 如 果 除 了 RR 本 身 以 外 不 存在 严格 地 大 于 MM (包含 
M ) 的 理想 。 

命题 ”对 于 一 个 有 单位 元 的 交换 环 及 ，7 是 RR 的 一 个 理想 ， 则 商 环 RR/1 为 一 个 域 当 且 仅 
当 了 7 是 一 个 极 大 理想 。 

证 明 设 x+IT 是 R/T 的 一 个 非 零 元 素 , 则 x+Iz0， 故 xg。 注意 到 理想 Rx+1 因 此 严 
格 地 大 于 I。 因 为 1 已 经 是 极 大 理想 ， 则 必 有 Rx+I=R。 因 此 存在 reR 和 ieJ， 使 得 
rx+i=1， 将 这 个 等 式 模 了 我 们 得 到 zyx =1modI 。 这 也 就 是 说 x + 了 是 x+J 的 飞 法 道 元 素 ， 
此 尺 /7 为 一 个 域 。 

另 一 方面 , 假设 R/T 为 一 个 域 。 设 xeR 但 xg7T, 则 在 R/T 中 x+1z0。 因 此 它 在 R/T 中 
就 有 一 个 乘法 逆 元 r+7， 即 

(+ 门 .(x+ 门 =1+7 
由 商 环 中 乘法 的 定义 , 上 式 即 为 rxy+1=1+1，, 或 者 1erx+1，, 这 就 意味 着 理想 Re+ 了 就 是 R 。 
但 是 Rx+17 已 经 是 包含 1 和 x 的 最 小 理想 ， 因 此 不 存在 严格 大 于 了 的 真正 理想 ， 故 了 是 极 大 理 
想 。 2 
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习题 


29.4.01 在 系数 为 乙 中 且 只 有 一 个 变 元 的 多 项 式 环 Z[x] 中 ， 通 过 证 明 由 x 生成 的 理想 不 
包含 素数 2 进而 证 明 它 不 是 极 大 理想 。 

29.4.02 在 系数 为 Z 中 且 只 有 一 个 变 元 的 多 项 式 环 Z[x] 中 ， 通 过 证 明 商 环 是 一 个 域 进而 
证 明 由 x 和 一 个 素数 p 生成 的 理想 是 极 大 理想 。 

29.4.03 在 系数 为 荆 中 有 旦 只 有 一 个 变 元 的 多 项 式 环 Z[x] 中 ， 通 过 证 明 商 环 是 一 个 域 进而 
证 明 由 x?+1 和 素数 7 生成 的 理想 是 极 大 理想 。 

29.4.04 在 系数 为 Fy 中 且 有 两 个 变 元 的 多 项 式 环 Fs[xwy] 中 ， 通 过 证 明 由 x 生成 的 理想 不 
包含 y 进 而 证 明 它 不 是 极 大 理想 。 

29.4.05 在 系数 为 F 中 且 有 两 个 变 元 的 多 项 式 环 F2[xwy] 中 ，: 通 过 证 明 商 环 是 一 个 域 进而 
证 明 由 x 和 y 生成 的 理想 是 极 大 理想 。 


29.5 ” 域 扩张 的 更 多 知识 


在 这 一 节 ， 我 们 将 使 前 面 讨 论 的 构造 问题 更 加 具体 ， 我 们 将 用 系数 域 “ 较 小 ”的 多 项 式 
环 的 商 来 获得 “更 大 ”的 域 . 这 也 是 我 们 早 些 时 候 所 讨论 的 有 限 域 的 略微 抽象 的 形式 。 设 大 是 
一 个 域 ， 另 一 个 包含 大 的 域 天 称 为 大 的 扩 域 ， 而 大 则 是 天 的 一 个 子 域 。 

定理 ” 设 k 是 一 个 域 ，P(x) 是 k[x] 中 的 一 个 不 可 约 多 项 式 〈 不 是 零 多 项 式 )， 则 主 理想 
T=k[x]. P(x) 是 极 大 理想 。 因 此 商 环 区 xz]/7 是 一 个 域 。 更 进一步 ， 复 合 映射 

天 一 kx] 一 大 [x]/7 
是 单 射 , 所 以 我 们 可 以 将 作为 kfx]/T 的 一 个 子 域 来 考虑 。 若 令 Q=x+7 为 不 定 元 x 在 kx]/1 
中 的 像 ， 则 (在 商 k[x]/7 中 ) P(g)=0。 最 后 , 任何 Beklx]/7 均 可 惟一 地 表示 为 B= Ra) 的 
形式 ， 这 里 情 是 Kk[x] 中 一 个 次 数 严 格 小 于 P(x) 的 次 数 的 多 项 式 。 

备注 天 的 扩 域 天 的 次 数 就 是 构造 过 程 中 所 用 的 多 项 式 P(x) 的 次 数 。 

备注 在 构造 过 程 中 ,我 们 认为 a 是 “存在 的 ” 并 且 是 方程 P(x) =0 的 一 个 根 ， 我 们 称 
将 P(x) =0 的 一 个 根 添加 到 上 中 ， 记 为 上 [w]=A[z]/7 。 

备注 为 了 使 记号 简便 起 见 ， 通 常 将 商 K[x]/Kk[x]: P(x) 记 为 Kk[x]/ P(x)， 其 含义 就 是 商 是 
经 由 P(x) 生成 的 理想 而 产生 的 。 这 与 我 们 前 面 的 记 法 ， 如 用 Z/n 表 示 Z/Z.n 是 一 致 的 。 

备注 一 个 可 以 被 表示 为 多 项 式 Ra) 的 元 素 B ek[x]/7 是 可 约 简 的 , 这 里 R 的 次 数 严 格 
小 于 P(x) 的 次 数 。 因 为 [x]/7 是 环 ， 任 何 cx 的 多 项 式 R(a) 也 能 表现 k[x]/T 中 的 特征 。 它 的 
每 个 元 素 均 可 惟一 地 表示 为 一 个 次 数 严 格 小 于 PP 的 次 数 的 多 项 式 。 这 与 商 环 Z/n 上 的 情况 完 
全 类 似 , Z/n 中 每 一 个 等 价 类 均 在 模 n 约 简 的 整数 中 有 一 个 惟一 的 代表 元 。 记 作 {0, 1, 2,…， 
n-1} 

证 明 设 J 是 一 个 多 项 式 , 但 不 属于 理想 7= Kk[x].P， 我 们 需要 证 明理 想 Kk[x]-J + 了 7 就 是 
k[x]， 从 而 证 明了 的 极 大 性 ,因为 P 是 不 可 约 的 , 则 J 和 P 的 最 大 公 因 子 就 是 1 。 因 此 , 由 k[x] 
上 的 欧 几 里 得 算法 ， 存 在 k[x] 中 的 多 项 式 4,8 ， 使 4.P+8.J =1。 这 也 就 是 说 Kk{x]-J+1 包 
含 1。 令 C,D 为 满足 1=C.J+D.P 的 多 项 式 ， 则 对 任何 多 项 式 M ， 就 有 

M=M:.1=M.(C.J+D:P)=(M.C):J+(M.D):P 
属于 k[x]:J+k[x]":P。 即 M 属于 理想 Kk[x]:J+k[x]'.P， 所 以 这 个 理想 就 是 加 个 环 k[x] 。 这 就 
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证 明了 7=K[x]:P 的 极 大 性 。 

下 面 我 们 来 证 明 复 合 映 射 上 一 > k[x] 一 Hx]/K[x]:P 了 是 一 个 单 射 。 令 了 = Kk[x]:P， 第 一 个 映 
射 是 很 显然 ， 它 将 a ek 映射 为 一 个 “常数 ”多 项 式 a。 假 设 a,bek， 使 得 a+1=b+T， 则 
通过 减法 ，(a-b)+1=0+I ， 由 此 即 得 

a-b=(a-b)+0Oe(a-b)+I=/ 
因此 a-bel。 
接 下 来 我 们 证 明 P(g)=0 。 设 g:k[x] 一 Kfx]/T 是 一 个 环 同 态 ， 并 设 
P(x)= ayx’" + Arix” +... + aX + Ax+ao 
为 证 明 P(a) =0 ， 我 们 首先 来 计算 
Pa)=aia"+a ic + +aoG +TqIC+a0 
= a,q(x)” +a 1g(O ! +...+ag(x)* +aC+an 
= g(ayx" +anx" +...+ax +ax+ao)= gq(P(x)) 
这 是 因为 4 是 环 同 态 , 并 且 K 中 的 “常数 ”被 映射 到 商 时 不 会 改变 。 因为 P(x) s7 , 则 像 9(P(o) 
为 0， 也 就 是 P(a) =0 。 

最 后 我 们 来 证 明 商 环 k[x]/I 中 的 任何 元 素 都 可 表示 为 次 数 不 超 过 degP 的 a=x+I 的 多 
项 式 。 事实 上 ， 给 定 Be klx]/T ， 存 在 一 个 多 项 式 J 使 得 q(J(x)) = 8 ， 对 多 项 式 J 运用 除法 
算法 ， 可 得 

J(x) = Q(x): P(x) + R(x) 
这 里 deg R < degP 。 然 后 对 上 式 两 边 同时 作用 以 环 同 态 q ， 我 们 利用 q(P(x))= P(Q@)=0 以 及 
环 同 态 的 性 质 可 以 得 到 
B=4(7(x)) = aq(Q(x)). q(P(x)) + 9(R(X)) = aq(O(x)) :0+ R(q(x)) = Ra) 
即 = R(Q) 。 至 此 定理 得 证 。 全 
推论 ”当天 为 包含 g 个 元 素 有 限 域 时 ， 对 于 一 个 nn 次 不 可 约 多 项 式 P(x) ， 域 扩张 
=k[x]/P(x) 则 有 gq" 个 元 素 。 

证 明 设 a 是 x 在 K 中 的 像 因为 K 中 的 每 个 元 素 均 可 惟一 表示 为 次 数 不 超 过 n 的 a 的 
多 项 式 R(a) ， 而 对 7 个 系数 〈 ea 的 方案 0 到 mn -1 次 ) 中 的 每 一 个 均 有 9 种 可 能 ， 则 总 共 就 有 
dg "个 元 素 。 3 

备注 ”由 不 可 约 多 项 式 P(x) 所 形成 的 域 扩张 k[x]/ P(x) ， 如 果 P(x) 为 二 次 的 ， 则 称 其 为 
二 次 的 ， 如 果 P(x) 为 三 次 的 ， 则 称 其 为 三 次 的 ， 如 果 P(x) 为 五 次 的 ， 则 称 其 为 五 次 的 ， 等 
等 。 


29.6 ” 费 罗 贝 尼 乌 斯 自 同 构 


有 限 域 的 一 个 非常 高 级 的 结构 化 特征 就 是 费 罗 贝 尼 乌 斯 映射 的 出 现 ， 它 在 域 理论 的 研究 
中 起 着 非常 重要 的 作用 。 几 个 关于 有 限 域 的 基本 定理 ， 它 们 虽然 没有 直接 提 到 费 罗 贝 尼 乌 斯 
映射 ， 但 在 这 些 定理 证 明 中 却 用 到 了 费 罗 贝 尼 乌 斯 映射 “Frobenius maps)。 在 本 节 ， 我 们 将 
从 更 加 抽象 的 角度 考虑 有 限 域 ， 并 且 尽 可 能 不 依赖 有 限 域 的 特定 模型 ， 比 如 依赖 于 不 可 约 多 
项 式 的 选择 的 有 限 域 模型 。 实 际 上 ， 这 个 更 加 抽象 的 研究 将 用 来 给 出 关于 不 可 约 多 项 式 和 本 
原 多 项 式 的 计数 定理 的 证 明 。 

在 本 节 ， 我 们 还 会 简要 介绍 一 个 小 域 上 大 域 的 自 同 构 群 的 一 些 特 性 。 自 同 构 群 是 伽 罗 瓦 
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理论 的 先驱 ， 伽 罗 瓦 理论 (Galois theory) 系 统 地 研究 了 这 种 自 同 构 群 。 
令 k=F, = GF(q) 是 一 个 有 gq 个 元 素 的 有 限 域 ， 其 中 gq= p” 是 素数 p 的 方 军 。 给 定 整 数 
N >1, 并 假设 有 一 个 较 大 且 包 含 上 的 有 限 域 K =F ,=GF(g”)。k 上 的 费 罗 贝 尼 鸟 斯 映射 


为 @(c) =a? 。 有 时 对 天 和 大 的 这 种 模糊 的 引用 是 无 坏处 的 ， 因 为 我 们 也 称 其 为 E 上 天 的 费 
罗 贝 尼 乌 斯 自 同 构 。 原因 将 在 下 面 进 行 阐述 。 内 为 kK 对 乘法 是 封闭 的 , 很 显然 号 将 KK 映射 到 
自身 。 

备注 下 就 是 将 天 中 的 元 素 映 射 为 该 元 素 的 g 次 方 寡 ， 这 里 4 是 天 中 一 个 较 小 的 域 天 的 
基数 。 我 们 所 使 用 的 符号 记 法 并 没有 说 明 相 应 的 上 和 天 到 底 是 什么 。 对 天 和 左 的 这 种 模糊 的 
引用 是 没什么 坏处 的 ， 因 为 我 们 不 会 对 中 直接 进行 操作 。 


命题 k=F, 上 KK=F; 的 费 罗 贝 尼 乌 斯 映射 中 是 天 到 天 的 一 个 双 射 。 特 别 地 ， 
PY =DoDo.oD 
NM 


是 大 上 的 单位 映射 《即将 每 个 元 素 映射 到 自身 )。 

证 明 因为 费 罗 贝 尼 乌 斯 映射 @ 就 是 将 KK 中 的 元 素 映射 为 该 元 素 的 g 次 方 窜 , 而 且 天 对 
乘法 是 封闭 的 ， 因 此 中 将 天 映射 到 天 。 我 们 所 关注 的 单 射 性 和 满 射 性 ， 可 以 这 样 获得 。 因 为 
如 果 能 够 证 明 @ ”是 天上 的 单位 映射 ， 则 足以 证 明 中 既是 单 射 又 是 满 射 。 

由 于 乘法 群 K* 的 阶 为 gq” -1， 所 以 由 拉 格 朗 日 定理 及 其 推论 ， 任 何 元 素 6 sK* 的 阶 则 
为 9 -1 的 因子 ， 那么 p” "1 =1。 因 此 ， 对 中 的 一 个 非 零 元 素 86， 我 们 有 

BB)=p" =Bp" =p1=p 
这 就 证 明了 命题 。 全 

命题 限制 于 上 上 的 费 罗 贝 尼 乌 斯 映射 中 是 一 个 单位 映射 。 也 就 是 说 ， 对 于 k=F, 中 的 
每 个 元 素 w ，z(a)=Q 。 如 果 对 于 ge 天 也 有 性 质量 (a)=a， 则 事实 上 Qek。 

证 明 ”该 命题 的 前 面 一 半 正 好 适用 拉 格 朗 日 定理 的 推论 。 首先 因为 乘法 群 ” 的 非 零 元 素 
共有 gq 一 1 个 ， 由 拉 格 朗 日 定理 及 其 推论 ，k 中 任何 非 零 元 素 的 阶 都 是 g-1 的 一 个 因子 。 所 以 
对 非 零 元 素 w ek， 我们 有 

Dla)=as =(a) a=1.a=a 
对 于 0 ， 当 然 有 0? = 0 。 这 就 证 明了 命题 的 前 半 部 分 。 

现在 我 们 假设 we 开 且 @(w)=w， 由 贞 射 中 的 定义 ，aw 就 是 方程 x? -x=0 在 域 K 中 的 
一 个 根 。 由 多 项 式 的 惟一 分 解 ( 系 数 在 域 中 )， 我 们 知道 次 数 为 g 的 多 项 式 方程 至 多 在 域 中 有 
gq 个 根 。 现 在 我 们 已 经 找到 了 这 个 方程 的 g 个 根 ， 也 就 是 包含 在 久 中 的 一 个 小 的 域 的 所 有 
元 素 。 因 此 在 域 上 之 外 不 可 能 存在 这 个 方程 的 任何 根 ， 即 必 有 cw ek。 这 就 证 明了 命题 的 后 半 
部 分 。 生 

引 理 设 1x 是 KK 中 的 乘法 单位 元 ， 则 1x +…+1lk =0 。 由 此 ， 对 于 天 中 的 任何 元 素 a ， 

-Pp 
&X+…+X=0。 

p 

备注 一 般 域 理论 的 一 个 更 加 系统 化 的 拓展 就 是 使 这 个 引 理 的 结果 更 加 易于 理解 ， 但 它 
所 花 的 时 间 远 远 超过 如 下 有 趣 的 证 明 。 
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证 明 ”由 拉 格 朗 日 定理 及 其 推论 ， 在 由 KK 中 的 加 法 所 构成 的 群 中 “暂时 不 考虑 它 的 乘 

法 )， 任 何 元 素 @ 的 阶 是 整个 群 的 阶 g” 的 一 个 因子 ， 也 就 是 有 
gq*" :0=0+.…+Q@=0 
gq” 
因为 gq= p”， 上 式 则 变 为 p 信 .gg=a+…+aQ=0。 此 时 我 们 使 用 记号 t=1lx +…+1lx ， 并 把 
p™™ ; 
g=1x 代入 上 式 ， 则 有 
0=1 +…+k =t™ 


N 
9 


因为 K 是 域 ， 不 论 何 时 几 个 元 素 乘积 为 0， 必 有 一 个 因子 为 0。 因 此 :=0， 引 理 的 第 一 部 分 
得 证 。 再 由 下 式 即 可 得 引 理 的 第 二 部 分 结论 : 
Se 
至 此 ， 引 理 得 证 。 和 
命题 ”对 任意 a,P eK ，k 上 太 的 费 罗 贝 尼 乌 斯 映射 多 具有 如 下 的 性 质 : 
Pla+p)= D(a)+D(P) 
D(a: p= Ba): PP) 
这 也 就 是 说 ，@ 保持 加 法 和 乘法 。 因 为 我 们 已 经 知道 中 是 一 个 双 射 ， 所 以 @ 被 称 为 环 同 构 。 
证 明 第 二 个 性 质 ， 即 保持 乘法 ， 可 由 我 们 已 知 的 简单 事实 得 出 ， 即 一 个 乘积 的 g 次 方 
窜 等 于 g 次 方 寨 的 乘积 。 只 要 乘法 是 交换 的 ， 这 个 结论 总 是 正确 的 ， 这 里 也 不 例外 。 也 不 用 
担心 特定 的 指数 到 底 是 什么 。 
而 保持 加 法 的 证 明 则 需要 灵活 运用 指数 g 是 一 个 素数 p 的 方 守 这 一 事实 。 对 任意 
Q, PeK ， 我 们 从 证 明 (ga+ BP)? =Q?+B? 开始， 由 二 项 式 展开 定理 ， 左 边 即 为 ; 


a? + + + +( P jj +pB? 
p- 
这 里 天 中 的 元 素 乘 以 正 整 数 就 是 重复 的 加 法 。 如 同 费 马 小 定理 的 证 明 ， 这 个 二 次 项 展开 式 中 
所 有 中 间 项 的 系数 均 能 被 疡 整除 ， 由 刚刚 证 明 的 引 理 ， 在 天 中 展开 式 中 所 有 中 间 项 即 为 0 。 
由 此 我 们 就 证 明了 (a + B)2 =a2+B2 。 然 后 我 们 再 反复 利用 这 个 结果 : 
(w+ 有 )P =(g? +Br)?=ar +br 
(w+P) =(ar +B?)” =(a +b? ) =ar +B? 
等 等 ， 以 此 类 推 ， 由 归纳 法 我 们 即 得 (g+p)?”=a?”+ Br”。 即 费 罗 贝 尼 乌 斯 映射 保持 加 
法 。 和. 
命题 设 P(x) 是 系数 为 =F, 上 的 多 项 式 ， 令 aeK 是 方程 P(x)=0 的 一 个 根 ， 则 
(a)=a7 ，@7(a) =@(@(0)) = ，… 均 是 方程 的 根 。 
证 明 设 系数 Ci 为 上 = 了 上 的 多 项 式 P(x) 为 : 
P(X)= Cx" +en Ix” 二 十 co 二 CIX 二 Cg 
对 如 下 方程 两 边 同时 取 费 罗 员 尼 乌 斯 映射 


- n n-l 
0=cQ +Ccn IC 


2 
十 十 CC 十 CiIC 十 C0 
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则 有 
d(0) = De Da) +@(c Pa) + + De Da) +)G(x)+d@(co) 

内 为 中 在 天 中 保持 加 法 和 乘法 ， 而 且 系 数 c 在 上 中 ， 如 同 左边 的 0 一样 ， 中 不 改变 它们 。 即 
我 们 得 到 
0=c,Pa) +c Po) ++c@(o) + oP(a)+eo 
这 也 就 是 0= P(@(o) 。 因 此 如 果 @ 是 方程 P(x)=0 的 一 个 根 ， 则 @(@) 也 是 它 的 一 个 根 。 反 
复 利用 这 一 结论 即 得 我 们 的 命题 。 全 

命题 令 4=ftom,…a} 是 到 中 《fr 个 不 同 ) 元 素 的 集合 ， 并 且 满 足 对 任意 的 we4， 
@(os4， 则 多 项 式 (x-w)xz=-ao)…(Cx-ea) 的 系数 在 大 中 。 
证 明 对 系数 在 大 域 久 中 的 一 个 多 项 式 


n-l 





P(x) =cx" te ax” + 二 coc 二 CI 二 C0 
让 下 作用 于 该 多 项 式 的 系数 ， 定 义 一 个 新 的 多 项 式 中 (P): 
DP)x) = P(e )x” + Per)x" +…+g(c， )x 十 (cl)x+ 中 (co) 

内 为 中 在 天 中 保持 加 法 和 乘法 ,， 故 不 难 验证 它 对 系数 在 天 中 的 多 项 式 也 保持 加 法 和 乘法 , 即 
对 两 个 这 样 的 多 项 式 P 和 0Q， 有 如 下 性 质 成 立 : 

DP+O)= PB(P) + DO) 

PD(P:.0)= PP): PO) 
给 多 项 式 乘 积 (x 一 oa)(x 一 &,)…(x 一 Q) 作 用 以 ®， 由 关于 人鱼 的 假设 ， 即 它 只 是 对 4 中 的 元 素 
做 一 置换 ， 这 样 它 也 就 只 是 打 乱 了 多 项 式 (x 一 a)(x -Qs)…(x 一 @) 中 乘积 因子 的 顺序 ， 故 
P(x -QaN(x 0) x-0)) = x- x- (x-0) 

这 就 意味 着 (x 一 &)(x -a,)…(x 一 Q) 的 展开 形式 


(x—a)x—o) (x -0) =onx" te x” 二 十 cat 二 CC 二 Cg 





有 具有 如 下 性 质 ， 


Co 十 CO 二 十 Cox 十 CI 十 CO 
= P(e, )x” + Dc x+ + De )x + PD(ci)x + P(eo) 


多 项 式 “ 相 等 ”的 含义 就 是 对 应 项 的 系数 相等 , 因此 由 上 面 的 多 项 式 等 式 我 们 可 得 (ec;)=c;， 
对 所 有 下 标 i 。 这 就 意味 着 对 所 有 的 下 标 i ，cj ek。 由 

命题 设 a 是 K=k[x]/8 的 一 个 元 素 , 则 存在 Kk[x] 中 的 一 个 首 一 不 可 约 多 项 式 了 使 得 
是 P(x)=0 的 一 个 根 ， 路 

P(X)=(x-o)(x- Bo)x- BP (0) (x -D(a)) 

这 里 的 d 是 满足 @(a) = 的 最 小 正 整 数 。 

证 明 考虑 w 在 费 罗 贝 尼 乌 斯 映射 下 连续 的 像 2'(g) 。 因 为 域 是 有 限 的 ， 所 以 存在 某 个 
0 i<j 使 得 点 @'(Q)= 中 /gq) 。 因 为 是 下 到 的 双 射 ， 它 必 有 一 个 道 映射 。 对 等 式 
@'(o) = i(@) 作用 逆 映 射 -i 次 ， 则 得 到 

a=®" (0)= (a) 
即 有 i = 0 。 这 意味 着 在 a,P(a),*(a),… 这 个 列表 中 ， 对 最 小 的 六， 使 得 @y(ao) 已 经 在 列表 
上 了 ， 我 们 有 @;7(a) = wc ， 而 不 用 在 列表 上 进一步 复制 某 个 其 他 元 素 了 。 令 
Q, B,D 1a) 
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是 w 在 费 罗 贝 尼 乌 斯 映射 下 不 同 的 像 。 我 们 看 到 有 do)=w 。 令 

POO)=(x-o)(x- P(x- Da) x- BP (a) 
辣 前 面 一 样 ， 对 书 运 用 四， 仅仅 是 通过 指标 的 移 位 对 右边 的 因子 作 一 个 置换 。 内 此 当 展 开 多 
项 式 已 后 ， 它 没有 变化 ， 所 以 它 的 系数 仍然 在 小 域 上 中 。 在 前 面 讨 论 费 罗 贝 尼 乌 斯 映射 时 已 
经 看 到 了 这 种 现象 。 显 然 w 是 P(x) =0 的 一 个 根 。 

由 上 面 的 讨论 , 如 果 8 是 一 个 系数 在 小 域 上 上 的 多 项 式 方程 在 玉 中 的 一 个 根 , 则 @(O) 也 
是 一 个 根 。 因 此 对 任何 系数 在 小 域 上 上 的 多 项 式 ， 如 果 wx 是 它 的 一 个 根 ， 则 它 必 有 因子 
Xx- 中 '(g)，1<i<qd。 由 系数 在 域 上 的 多 项 式 的 惟一 分 解 ， 这 表明 这 是 惟一 的 此 类 多 项 式 。 

特别 地 ，P 必定 是 K[] 中 的 一 个 不 可 约 多 项 式 ， 因 为 如 果 它 能 够 在 k[x] 被 真正 分 解 为 
P=PP， 则 由 惟一 分 解 ，a 或 者 是 P(x)=0 的 根 ,， 或 者 是 已 (x)=0 的 根 ， 并 且 所 有 的 d 个 
不 同 的 元 素 @'(a) 也 是 同一 方程 的 根 ,内 为 根 的 个 数 至 多 为 多 项 式 的 次 数 , 因此 不 可 能 有 P 的 
真 分 解 ， 所 以 了 在 k[x] 是 不 可 约 的 。 > 

推论 设 B 是 x 在 K=F,[xj/6 中 的 像 ， 则 

Q(X)=(x- Px- PP)x- BB): (x-D"™(p)) 

我 位 有 四 "(8) = 8 ， 并 有 昌 n 是 使 得 9"(B)= 6 成 立 的 最 小 正 整 数 。 

证 明 这 个 结论 就 是 刚才 已 证 明 命题 的 特殊 情形 。 和 

我 们 还 需要 作 进 一 步 的 抽象 。 令 e 表 示 K =F,[x]/ 到 自身 的 单位 映射 ， 并且 令 

G= {e,D,D’,.…, DP”!} 

这 里 的 O 是 n 次 的 。 这 是 一 个 K=F,[x]/8 到 自身 映射 的 集合 ， 如 果 将 这 些 映射 中 的 每 一 个 
均 限 制 地 F, 上 ， 则 得 到 也 到 自身 的 单位 映射 。 因 为 每 个 @' 是 F 上 的 单位 映射 并 且 将 天 一 一 
地 映射 到 自身 ， 我 们 称 G 是 F 上 天 的 自 同 构 。 

命题 F, 上 的 自 同 构 集 合 G 是 一 个 以 e 为 单位 元 的 群 。 

证 明 设 B 是 x 在 K 中 的 像 。 我 们 首先 来 验证 对 任意 的 aeK，q"(g)=Q。 我 们 已 经 
知道 &@ 可 以 表示 为 一 个 系数 在 F, 上 BB 的 多 项 式 ， 即 @= R(B) 。 因 为 中 保持 加 法 和 乘法 ， 并 
且 由 前 面 的 推论 ， 有 "(8B)= 8 ， 因 此 

DP"(a)= PD"(R(P) = R(D"(P)) = R(P)=a 

因为 "=e， 对 任意 的 整数 ，@' = 六 是 天 到 自身 的 一 个 函数 ， 这 里 的 %z 就 是 通常 

的 模 n 约 简 。 因 此 集合 G 对 乘法 是 封闭 的 〈 也 就 是 函数 的 合成 ) 

中 iody = Den 
进一步 我 们 可 以 证 明 G 对 求 逆 是 封闭 的 : (@1) "1 = ®B"。 结 合 律 可 以 由 函数 合成 的 结合 律 直 
接 得 到 。 群 的 单位 元 为 映射 e 是 显然 的 。 

对 于 geK， a 在 G 中 的 稳定 化 子 子 群 G, 定义 为 G, ={g eG:g(Q) =Q}, 我 们 容易 验证 
这 是 G 的 一 个 子 群 。 

命题 对 于 we 天 ，w 在 G 中 的 稳定 化 子 子 群 G。 是 G 的 一 个 子 群 。 

证 明 ”G, 显然 包含 单位 映射 e。 假 设 ge G 且 满 足 g(w) = w， 对 这 个 等 式 运用 未 数 8 
则 得 到 

a=g (g(a))=g "(0) 
因为 G, 对 求 道 是 封闭 的 。 如 果 g,heG,， 则 g(h(Q)) = g(Q)=Q 。 因 此 G。 对 乘法 是 封闭 的 ， 
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所 以 C， 的 确 是 一 个 群 。 和 

命题 给 定 aeK=F,[x]/Q，, 则 a 在 反复 运用 费 罗 贝 尼 乌 斯 映射 下 不 同 像 Bi(a) 的 个 数 
是 CO 次 数 的 因子 。 

证 明 我 们 在 这 里 真正 应 当 断 言 的 是 : 不 同 像 @ (ae) 的 集合 与 陪 集 G/G, 的 集合 是 双 射 ， 
Gs 是 a 在 自 同 构 群 G 中 的 稳定 化 子 子 群 。 实 际 上 ， 如 果 geG， 并 且 heG,。， 则 
(gh)(@) = g(h(Q)) = g(a) 。 这 就 证 明 gG。 一 g(a) 是 定义 明确 的 。 并 且 如 果 g(a) = g(a)， 则 
0 = gig"(a) ,因此 gg'sG， .因此 我 们 就 证 明了 不 存在 两 个 不 同 的 陪 集 sgG, 和 8g'c, 把 a 映 
射 为 相同 的 元 素 。 LS 

推论 设 & 属于 域 K=k[x]/8， 则 使 得 P(g)=0 的 系数 在 中 惟一 的 首 一 不 可 约 多 项 式 
P 的 次 数 是 O 的 次 数 n 的 因子 。 

证 明 由 前 面 的 讨论 ， 设 P(X)=(x-a)(x-@(a)(x-P*(g)…(x~gq “i!i(a)) ， 这 里 的 
QD(a), P(g),…,B" (0) 为 a 的 不 同 的 像 ，d 是 多 项 式 P 的 次 数 。 如 同 我 们 在 拉 格 朗 日 定 
理 及 其 推论 的 证 明 过 程 一 样 ， 所 有 的 陪 集 G_, 有 相同 的 基数 。 由 此 和 前 面 的 命题 ， 
card(G) = d.card(G,)。 同 样 , 在 x 为 8 在 KK 中 的 像 的 特殊 情形 ， 稳定 化 子 子 群 正好 就 是 {fe} ， 
所 以 card(G)=n.:1， 因 此 4d 是 的 因子 。 入 

备注 在 本 节 的 讨论 中 , 我 们 没有 对 有 限 域 和 严 ， 的 惟一 性 做 出 任何 假设 , 我 们 只 是 
用 这 样 的 记 法 来 提醒 有 限 域 上 和 天 的 元 素 个 数 。 
习题 


29.6.01 3 为 一 个 集合 ， 丰 :3 一 SS 是 $ 到 自身 的 一 个 函数 。 假 设 Fe 太 是 $S 上 的 一 个 单位 
映射 ， 详 细 证 明 f 是 一 个 双 射 。 
29.6.02 5S 为 一 个 集合 ，f :S$S 是 5S 到 自身 的 一 个 函数 。 假设 f”= fo..…。f 是 S$ 上 的 


N 
一 个 单位 上 映射， 详细 证 明 f 是 一 个 双 射 。 
29.6.03 5 为 一 个 有 限 集合 ， 证 明 如 果 f :5 ->5 是 一 个 单 射 ， 则 它 必 定 是 一 个 满 射 ， 如 
果 了 是 一 个 满 射 ， 则 它 必定 是 一 个 单 射 。 


29.7 不 可 约 多 项 式 的 计数 


知道 有 限 域 上 存在 本 原 根 之 后 ， 我 们 就 可 以 对 给 定 次 数 的 不 可 约 多 项 式 进行 计数 。 我 们 
将 充分 利用 已 经 掌握 的 费 罗 贝 尼 乌 斯 映射 的 基本 结论 。 在 这 个 过 程 中 ， 我 们 也 会 不 可 避免 地 
了 解 并 掌握 更 多 的 关于 有 限 域 的 结构 特性 。 ， 
一 个 整数 称 为 是 无 平方 的 ， 如 果 它 不 能 被 任何 素数 的 平方 整除 。 我 们 来 回忆 一 下 对 整数 
所 定义 的 墨 比 乌 斯 函数 A : 
(-1) 如果 普 是 无 平方 的 ， 即 怡 被 :个 素数 整除 
AL(n)= 41 如 果 n=1 
0 如 果 n 被 菜 个 素数 的 平方 整除 
定理 [x] 上 次 数 为 的 首 一 不 可 约 多 项 式 的 个 数 为 二 也/(4)q” 。 也 就 是 说 这 个 
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piln pi'pzln Pip2:Psn 
素 因 子 。 
我 们 可 以 对 上 述 公 式 进行 一 些 特 别处 理 ， 以 获得 一 些 有 趣 并 且 便于 记忆 的 特例 ; 
推论 如果 n= pi 是 一 个 素数 ， 则 [x] 上 次 数 为 n 的 首 一 不 可 约 多 项 式 的 个 数 为 
4g 94， 
n 
推论 ”如 果 h= pip, 为 两 个 不 同 素数 pl 和 Pa 的 乘积 ， 则 FF,[x] 上 次 数 为 n= pip, 的 首 一 


Dip pt Pp 
—g i-—g 2 


不 可 约 多 项 式 的 个 数 为 4 
DPID2 


推论 如 果 呈 = 局 为 素数 户 的 方 井 ， 则 亚 [z] 上 次 数 为 n= 的 首 一 不 可 约 多 项 式 的 个 


全 


和 


-! 
数 为 2 -9 ， . 
n 


设 Q 是 F[x] 上 次 数 为 4 的 首 一 不 可 约 多 项 式 , 则 我 们 知道 KX =F,[x]/8 是 一 个 有 g” 个 元 
素 的 有 限 域 。 令 q(y)=y? 是 k=F, 上 天 的 费 罗 贝 尼 乌 斯 自 同 构 。 由 前 面 费 罗 贝 尼 乌 斯 自 同 构 
的 讨论 ， 我 们 知道 对 任意 的 ceK， 存 在 惟一 的 系数 在 =F 上 的 首 一 不 可 约 多 项 式 P 使 得 
P(a)=0， 而 且 事 实 上 ， 
P(x)=(x-ox- Pax- Ba) (x- D(a) 

这 里 的 d 是 反复 运用 k=F, 上 天 的 费 罗 贝 尼 乌 斯 自 同 构 中 后 c 的 不 同 像 的 个 数 。 我 们 有 
如 下 命题 : 

命题 设 PP 是 次 数 为 4 的 不 可 约 首 一 多 项 式 ，4 整除 不 可 约 多 项 式 O 的 次 数 n， 则 P(x) 
在 下 =k[x]/Q 中 有 4 个 不 同 的 根 ， 因 此 P(x) 可 以 K 中 分 解 为 不 同 线性 因子 的 乘积 。 

证 明 ” 商 环 L=k[x]/P 是 一 个 域 ， 设 a 是 x 在 L=Kk[lx]/P 中 的 像 。 我们 知道 P(g)=0， 
并 且 由 前 面 关于 费 罗 贝 尼 乌 斯 映射 的 讨论 ， 我 们 知道 

P(x)=(x-a)(x-P(a)(x- D(a) …(x- PD (a)) 

由 拉 格 朗 日 定理 及 其 推论 ， 因 为 产 的 阶 为 494 ~1， 所 以 有 a” -1 =1。 由 系数 在 域 上 的 多 项 式 
的 惟一 分 解 ， 这 即 意味 着 P(x) 整除 系数 在 上 = 也 的 多 项 式 x? 1 1。 

另 一 方面 ，KK 中 存在 本 原 根 g 即 意味 着 g?"! = 1 且 不 存在 更 小 的 正 指数 使 该 等 式 成 立 。 
因此 g',g?,g’,.…,g”"! 是 所 有 不 同 的 ( 且 非 零 ) 元 素 。 对 任何 整数 + 

(8 一 =(89 7 =1 =1 
所 以 这 4”" -1 个 元 素 是 x? "1 -1=0 的 所 有 根 。 而 另 一 方面 ， 这 个 方程 是 g" -1 次 的 ,所 以 它 至 
多 有 9g” -1 个 根 。 因 此 我 们 断言 在 天 [x] 中 ， 
xz l=(x-g)(x-g)(x-g)..(x-g") 

即 允 许 它 的 系数 在 更 大 的 域 KK 上 。 

因为 d 整除 nx， 我 们 有 一 个 基本 的 代数 等 式 ; 

dg —1= (ga -ge + qld) + gl") + 二 gd +1) 

因此 4? -1 整除 g" -1, 再 由 基本 代数 等 式 x?-! -1 整数 除 x?"1 1。 又 因为 P(x) 整除 x? 11， 
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进而 P(x) 整除 x? 7 一 1 。 因 此 由 x?7 一 1 在 K[x] 可 分 解 为 线性 因子 ,可知 P(x)=0 在 外 中 有 4d 
个 根 。 2 
证 明 要 证 明定 理 的 绪论 ， 我 们 可 以 通过 对 天 中 元 素 计数 的 方式 实现 ， 即 按照 系数 在 
k=Fs 上 的 首 一 不 可 约 多 项 式 元 素 的 根 进行 分 组 ， 总 共 分 为 4 组， 这 里 的 d 要 取 遍 +n 的 正 因 
子 ， 包 括 1 和 nn。 设 Ns 是 次 数 为 4 且 系 数 在 =F 上 的 首 一 不 可 约 多 项 式 的 个 数 ， 则 由 这 样 
的 分 组 和 计数 我 们 有 : 
gq” = aN, 


dln 
则 由 墨 比 岛 斯 反 演 我 们 邑 得 公式 
d- N, = Du(d)q”’ 
dln 


这 就 得 到 了 前 面 定理 的 结论 。 和 
29.8 本 原 多 项 式 的 计数 


通过 前 面 我 们 对 有 限 域 的 更 加 详细 的 讨论 ， 现 在 我 们 来 证 明 本 原 多 项 式 的 计数 公式 ， 作 
为 分 圆 多 项 式 不 可 约 因子 的 本 原 多 项 式 的 特征 的 一 个 推论 。 

给 定 一 个 素数 方 桔 9 ， 令 大 = 也 是 一 个 有 4 个 元 素 的 有 限 域 。 回 忆 一 下 本 原 多 项 式 的 定 
义 : 次 数 为 n 且 系 数 在 k 上 的 一 个 多 项 式 O 为 本 原 多 项 式 ， 如 果 x?"1 =1lmodC(x) 并 且 不 存 
在 更 小 的 正 整数 使 这 个 等 式 成 立 。 为 了 简便 起 见 ， 我 们 记 N=9" -1。 

定理 F[x] 中 一 个 n 次 本 原 多 项 式 Q 是 g" -1 阶 分 圆 多 项 式 的 一 个 不 可 约 因 子 。 反 之 ， 
gq" -1 阶 分 圆 多 项 式 的 每 个 不 可 约 因 子 的 次 数 为 n 且 是 本 原 多 项 式 。 

设 g 是 欧 拉 的 函数 ,回想 一 下 NN 阶 分 圆 多 项 式 px 的 次 数 为 gq(N)。 由 此 我 们 首先 给 出 

推论 在 多 项 式 环 F[x] 中 有 gw(q” 一 1)/n 个 次 数 4 为 的 本 原 多 项 式 。 

证 明 由 定理 可 知 ， 每 个 这 样 的 本 原 多 项 式 是 N 阶 分 圆 多 项 式 pw 的 不 可 约 因子 ， 这 里 
六 = 和 -1。 另 一 方面 ，Px 的 每 个 不 可 约 因子 是 次 数 为 的 本 原 多 项 式 。 因 为 g -1 与 我 们 这 
里 所 使 用 的 域 的 特征 p 是 互 素 的 ， 因 此 wx 没有 重 因 子 ， 因 此 也 就 没有 哪 一 个 因子 会 重复 出 
现 。 又 因为 乘积 的 次 数 为 因子 次 数 的 和 ， 故 我 们 有 : 

9w 的 次 数 =Cn 次 本 原 多 项 式 的 个 数 ).n 
由 此 我 们 即 得 推论 中 的 计数 公式 。 2 

证 明 不 失 一 般 性 ， 我 们 仅 考 虑 n> 1 的 情况 ， 因 为 线性 的 情况 容易 处 理 。 特 别 地 ， 这 也 
就 排除 了 能 被 x 整除 的 不 可 约 多 项 式 的 情况 。 

一 方面 , 假设 整除 g" -1 阶 分 圆 多 项 式 px 的 多 项 式 OQ 次 数 为 n， 因为 pw |x?-1， 当 然 
有 x?”' =1mod Q(x) 。 如 果 对 任何 较 小 的 正 整数 ! ， 也 有 类 似 的 性 质 ， 即 

x'=1modO(x) 
则 多 项 式 如 整除 之 -1。 但 由 对 分 圆 多 项 式 的 讨论 ， 因 为 办 -1 与 p 是 互 素 的 ， 则 对 于 
1<g" 一 1， gw 与 x -1 没有 公 因 子 。 因 此, 满足 使 > 的 方 寨 模 o(x 为 1 的 最 小 正 整数 只 能 是 
9”" 1]， 即 O(x) 为 n 次 本 原 多 项 式 。 
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男 一 方面 ， 假 设 O(x) 为 n 次 的 本 原 多 项 式 ， 则 由 定义 有 
x4 1 =1mod O(x) 

这 等 价 于 说 O(x) 为 x”” -1 的 一 个 内 子 。 同 样 ， 不 存在 使 x 的 方 权 模 O(x) 为 1 的 较 小 正 整 数 ， 
这 个 条 件 也 就 是 说 对 任何 较 小 的 入 ， 即 入 <g" -1，0O(x) 不 能 整除 x*”-1。 由 分 圆 多 项 式 的 讨 
论 ， 并 利用 惟一 分 解 ， 如 果 对 于 N <g" -1， 我 们 从 x? -1 中 去 掉 它 与 x*-1 的 公 因 子 ， 则 
余下 就 是 分 圆 多 项 式 py 。 因 此 nn 次 的 本 原 多 项 式 Q(x) 整除 g” -1 阶 分 圆 多 项 式 pw 。 

现在 我 们 来 证 明 wx 的 所 有 不 可 约 因子 的 次 数 为 n。 令 Q(x) 为 gw 的 任何 不 可 约 因 子 ， 则 
工 = 了 [xz]/2 为 一 个 域 ， 且 由 分 圆 多 项 式 px 的 构造 可 知 ，x 的 像 c 在 乘法 群 产 中 的 阶 为 
N=g -1。 因 此， 如 果 4 是 多 项 式 OUx) 的 次 数 ， 则 由 拉 格 朗 日 定理 及 其 推论 ， 必 有 gq” -1 整 
除 g4 -1 。 特 别 地 ，z 3 。 即 一 方面 ，Px 的 任何 不 可 约 因子 的 次 数 至 少 为 x。 而 男 一 方面 ， 
令 中 是 工 在 F 上 的 费 罗 贝 尼 乌 斯 映射 : 





®P(P)= Pp" 
如 果 
x? -1 =1mod O(x) 
则 有 
a -1 
这 等 价 于 
a = 


即 @"(a) =a。 由 费 罗 贝 尼 乌 斯 自 同 构 的 讨论 ， 这 意味 着 Ffx] 中 满足 f(a)=0 的 首 一 不 可 约 
多 项 式 f(x) 至 多 是 次 的 。 同时， 由 有 限 域 的 构造 ， 我 们 还 有 C(w) = 0 。 电 费 罗 员 尼 乌 斯 自 
同 构 的 讨论 的 推论 ， 怡 好 存在 一 个 满足 fa) = 0 的 首 一 -不 可 约 多 项 式 f(x)， 则 O(x)= f(x)。 
因为 f(x) 至 多 是 nn 次 的 ， 则 Q(x) 也 是 至 多 是 n 次 的 。 因 此 ，egw 的 所 有 不 可 约 因 子 均 是 n 次 
的 ， 这 里 N=g"”--1。 

最 后 , 我 们 知道 本 原 多 项 式 必须 是 不 可 约 多 项 式 。 实际 上 ，F,[x] 中 的 一 个 n 次 本 原 多 项 
式 Q(x) 整除 分 圆 多 项 式 gw ， 这 里 N = gq” -1 。 综 上 所 述 ， 我 们 就 证 明了 pw 的 所 有 不 可 约 因 
子 均 是 于 次 的 。 因 此 根据 惟一 因 式 分 解 原理 ，@ 是 不 可 替代 的 ， 但 是 可 约 简 的 。 和 


“附录 A 相关 公式 


A.1 集合 与 函数 


这 里 我 们 来 复习 一 下 一 些 关 于 集合 和 函数 的 基本 却 非常 重要 的 术语 和 概念 。 我 们 使 用 映 
射 这 个 词 作 为 “函数 ”的 同义词 ， 一 般 也 是 这 样 做 的 。 

直观 地 讲 ， 集 合 就 是 一 个 用 “列举 出 它们 ”或 者 “用 规则 指定 它们 ”这 样 的 方式 来 描述 
的 一 些 的 “事物 ”的 整体 。 注 意 这 种 描述 是 十 分 不 准确 的 ， 但 却 容易 为 我 们 所 理解 。 我 们 也 
可 以 说 一 个 集合 就 是 不 同事 物 的 无 序 的 列表 。 

对 于 我 们 常用 的 一 些 集合 ， 都 有 标准 的 记号 : 

4=f= 空 集 = 没 有 任何 元 素 的 集合 

Z = 整数 集合 

Q = 有 理 数 集合 

R = 实数 集合 

C = 复数 集合 

一 个 集合 可 以 由 列举 方式 给 出 ， 比 如 8 = {1,2,3,4,5,6,7,8} ， 其 实 这 就 是 大 于 0 小 于 9 的 整 
数 的 集合 。 这 个 集合 如 果 以 规则 指定 的 方式 给 出 则 是 

5S = ,2,3,4,5,6,7,8} = {x :Xx 是 整数 日! <x<< 8} 

通常 集合 一 般 的 格式 和 记 法 是 这 样 的 ; {x:x 具 有 某 种 性 质 } 。 

如 果 x 在 集合 5 中 ， 则 记 为 xeS 或 3x， 并 称 x 是 5S 的 一 个 元 素 。 因 此 ， 一 个 集合 就 
是 其 所 有 元 素 的 整体 (尽管 这 仅仅 是 字面 上 的 解释 )。 值 得 注意 的 是 集合 中 元 素 列举 的 顺序 
对 集合 本 身 没 有 影响 ， 并 且 如 果 一 个 集合 的 元 素 在 列举 时 出 现 重复 ， 这 不 产生 任何 影响 。 比 
如 ， 





{1,2,3} = {1,1,2,3} = {3,2,1) = {1,3,2,1} 

一 个 集合 S 的 子 集 了 是 一 个 其 所 有 元 素 全 为 $ 的 元 素 的 集合 。 这 通常 记 为 Tc S 或 者 
ST 了 。 因 此 总 有 ScS 和 gcS。 如 果 TcS 并 且 T#5S 和 Tzpy， 则 TT 是 S 的 一 个 真子 集 。 
注意 ， 空 集 是 任何 集合 的 子 集 。 对 集合 5 的 一 个 子 集 T，7T (在 8 中 ) 的 补 集 为 

T°=S-T={seS:s¢e7} 

集合 也 可 以 作为 其 他 集合 的 元 素 。 比 如 ，{Q,Z,R,C} 是 一 个 有 四 个 元 素 的 集合 ， 每 一 个 
元 素 则 是 我 们 所 熟悉 的 数 集 。 或 者 我 们 可 以 验证 {1,2),{1,3},{2,3}} 是 一 个 由 和 1,2,3} 的 两 个 元 
素 的 子 集 构成 的 集合 。 

两 个 集合 4,8B 的 交 就 是 同时 属于 这 两 个 集合 的 元 素 构 成 的 集合 ， 记 为 4 介 B 。 两 个 集合 
不 相交 ， 如 果 它 们 的 交 为 空 集 。 如 果 交 不 为 空 ， 则 我 们 可 以 称 两 个 集合 相遇 。 两 个 集合 4,B 
的 并 就 是 由 这 两 个 集合 中 所 有 元 素 构成 的 集合 ， 记 为 4UB。 

注意 ，1z 人 和， 并 且 { 引 }z# 身 。 这 也 就 是 说 集合 的 单个 元 素 a 与 集合 {a} 本 身 是 两 个 不 
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同 的 事物 。 

一 个 有 序 对 (x, y) 就 是 两 个 元 素 的 列表 ， 其 中 一 个 是 第 一 个 元 素 ， 如 这 里 的 x， 有 一 个 是 
第 二 个 元 素 ， 如 这 里 的 y。 两 个 有 序 对 (x,y) 和 (x',y') 相等 ， 当 且 仅 当 x=x 和 y= y'。 

两 个 集合 4,8 的 第 卡尔 积 就 是 有 序 对 (a,5) 的 和 集合， 其 中 ae 4，beB， 记 为 4x8。 因 
此 ， 和 集合 {a, 妈 可 以 认为 是 一 个 无 库 对 。 因 为 由 定义 {a,6} = 和 ,a} ， 上 顺序 不 影响 集合 元 素 的 列 
举 。 但 对 有 序 对 而 襄 ，(a,b)z (5,q)， 除 非 a=b。 

在 4= 有 的 情况 ， 通 常 将 笛 卡 尔 积 4x8 记 为 A?。 更 一 般 地 ， 对 于 一 个 给 定 的 整数 nn， 一 
个 集合 的 n 次 向 卡尔 积 4" 就 是 有 序 的 n 元 组 (ql,qa,,.…,a,) 的 集合 ， 这 里 a,e 4。 

一 些 非常 重要 的 第 卡尔 积 的 例子 有 由 R、Q 或 C 构成 的 积 ， 比 如 R* 就 是 有 序 的 实数 对 
构成 的 集合 ， 它 用 来 描述 平面 上 的 点 。R; 为 有 序 的 三 元 实数 构成 的 集合 ， 它 用 来 描述 三 维 空 
间 上 的 点 。 

集合 5 的 露 集 就 是 由 集合 的 子 集 所 组 成 的 集合 ， 有 时 将 露 集 记 为 抱 ， 因 此 我 们 有 

Py= { 份 
P{1,2} = {6,11}, {2}, {1,2}} 

直观 地 讲 , 一 个 由 集合 4 到 另 一 个 集合 8 的 函数 了 就 是 一 个 规则” 它 将 每 个 元 素 ae 4 
赋值 给 男 一 个 元 素 b= f(a)e B 。 通 常 我 们 将 函数 了 记 为 1 :4 一 BB， 尽管 这 个 记号 没有 给 出 
关于 函数 了 的 任何 详细 信息 。 

更 加 严格 地 ， 但 也 是 比较 直观 的 ， 我 们 可 以 通过 给 出 图 的 方式 定义 一 个 函数 : 正式 的 定 
义 就 是 一 个 函数 :4 B 就 是 具有 如 下 性 质 的 4xB 的 一 个 子 集 ; 对 每 个 ae 4，, 存在 一 个 惟 
一 的 be B ， 使 得 (a,b)e f 。 我 们 可 以 记 为 f(a)=2b。 

这 个 正式 的 定义 是 值得 注意 的 ， 至 少 它 说 明 不 必 绝 对 地 要 求 用 任何 可 认识 或 简单 的 “ 公 
式 ” 来 描述 一 个 函数 。 

下 面 给 出 一 个 函数 正式 定义 的 例子 , 令 了 :4 和 1,2} 一 人 ,全 是 一 个 乘 以 2 的 函数 ， 即 0)= 2 ， 
2)=4。 那 么 “正式 的 ”函数 定义 将 表明 了 真正 是 笛 卡 尔 积 的 集合 贡 2} x {2,4} 的 子 集 ， 且 
包含 两 个 有 序 对 (1,2) 和 (2,4) 。 即 函数 了 的 正式 定义 就 是 集合 f = {(2),(2,4)} 。 当 然 ， 尽 可 能 
以 比 图 像 方 式 更 加 直观 的 方式 给 出 函数 的 描述 。 

一 个 函数 :4 一 B 是 满 射 (上映 上 的 );， 如 果 对 每 个 beB， 存 在 一 个 ae 4 使 得 f(a)=6。b。 
一 个 函数 f :4 一 B 是 单 射 ( 一 对 一 的 )， 如 果 f(a) = f(a') 蕴含 着 a=a 。 即 了 是 单 射 ， 如 果 
对 每 个 be B， 至 多 存在 一 个 ae 4 使 得 Fa) = 。 一 个 映射 是 双 射 ， 如 果 它 既是 单 射 又 是 满 
射 。 

一 个 集合 中 元 素 的 个 数 称 为 它 的 基数 。 这 里 有 一 点 非常 重要 ， 即 两 个 集合 4 和 巨 有 相同 
个 数 的 元 素 ， 即 有 相同 的 基数 ， 当 且 仅 当 它们 之 闻 存 在 一 个 双 射 。 也 就 是 说 ， 如 果 它 们 有 相 
同 个 数 的 元 素 ， 则 可 以 某 种 方式 使 这 些 元 素 完全 配对 。 反 之 ， 如 果 元 素 可 以 配对 ， 则 两 个 集 
合 的 元 素 个 数 必定 相同 。 

备注 “集合 基数 的 “计数 ”定义 完全 适用 于 有 限 集 ， 但 对 无 限 集合 却 无 能 为 力 。 通 常 ， 
如 果 我 们 也 试图 对 无 限 集 进行 “计数 ”， 首 先 要 做 的 就 是 要 定义 基数 (按照 “个 数 ”)， 而 不 
是 定义 有 相同 基数 的 性 质 : 两 个 集合 有 相同 的 基数 ,如 果 它 们 之 间 存 在 一 个 双 射 。 不 定义 “ 基 
数 ” 本 身 而 定义 有 相同 的 基数 ， 这 个 策略 似乎 在 变 戏法 ， 这 使 得 我 们 不 必 真 正 去 数 两 个 集合 
看 它们 是 否 有 相同 个 数 的 元 素 。 这 类 事情 本 身 非 常 有 趣 ， 但 在 本 书 中 对 我 们 不 是 很 重要 。 
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因为 在 有 限 集 中 ， 我 们 可 以 按照 传统 的 方式 去 数 元 素 个 数 ， 很 显然 一 个 有 限 集 与 其 真子 
集 之 间 不 存在 双 射 。 真 子 集 的 元 素 个 数 肯 定 小 于 原 集合 的 元 素 个 数 。 

与 之 形成 鲜明 对 照 的 是 , 我 们 很 可 能 在 一 个 无 限 集 与 其 真子 集 之 间 找 到 一 个 双 射 。 比 如， 
所 有 自然 数 的 集合 4 与 偶 自 然 数 的 集合 五 之 问 就 有 一 个 双 射 : n 一 2n。 但 的 确 是 4 的 一 
个 真子 集 。 甚 至 还 可 以 找到 比 这 更 令 人 吃惊 的 例子 。 最 后 ， 我 们 给 出 无 限 集 的 一 个 定义 ， 一 
个 集合 是 无 限 的 ， 如 果 在 它 本 身 与 其 真子 集 之 间 存 在 一 个 双 射 。 

令 大 :4 一 有 是 一 个 由 集合 4 到 男 一 个 集合 B 的 函数 ，g:8B ->C 是 一 个 由 集合 B 到 另 一 
个 集合 C 的 函数 ， 则 复合 函数 gof 定义 为 : 对 ae 有 4 

(g° f)(a)= g(f(a)) 

称 一 个 非 空 集合 S 上 的 函数 :5S -> 5 为 恒 等 函数 ， 如 果 对 所 有 we4， 有 al)=a。 通 
常 非 空 集合 SS 上 的 恒 等 函 数 记 为 id, 。 

设 f:4 一 B 是 一 个 由 集合 4 到 一个 集合 8 的 函数 ，f 的 一 个 反 函 数 g:8B-> 4A 如果 这 
个 g 存在) 满足 如 下 条 件 : 对 所 有 的 5eB 有 (fog)(b)=b， 并 且 对 所 有 的 ae 4 有 
(g°。 f(a)=a。 即 反 函 数 〈 如 果 存 在 ) 具备 如 下 性 质 : 

fog=id;, g°f =ids 
了 的 反 义 数 如 果 存 在 ， 则 通常 记 为 广 : 。( 跟 1 /Af 不 一 样 !) 

命题 一 个 由 集合 4 到 一 个 集合 8 的 函数 :4 B 有 有 反 函 数 ， 当 日 仅 当 了 是 双 射 。 此 
时 ， 反 函数 是 惟一 的 ( 即 仅 有 一 个 反 函 数 )。 

证 明 我 们 来 定义 一 个 函数 g:B 一 4: 给 定 beB， 令 ae 4 满足 f(a)=b， 则 定义 
8g(b)=a。 对 每 个 be 8 ， 重 复 上 述 步骤。 注意 到 我 们 可 利用 满 射 性 可 知道 对 每 个 b， 序 在 一 
个 a， 而 利用 单 射 性 则 可 保证 它 的 惟一 性 。 

为 验证 g。f = id ,我 们 做 如 下 计算 : 首先 ,对 任意 ae 4， f(a)e B ,那么 由 定义 , g(f(a)) 
就 是 满足 f(a) = f(a') 的 一 个 元 素 a'e 4 。 因 为 了 是 单 射 ， 则 必 有 a’=a。 为 验证 fo。g=1， 
取 be 8 并 计算 : 由 8g 的 定义 ，g(B) 是 满足 f(g(p))=5 的 一 个 属于 4 的 元 素 。 这 样 我 们 就 证 
明了 命题 。 全 
习题 

A.1.01 下 列 集 合 中 各 有 多 少 个 元 素 ? 4={1,2,2,3,3,4,5} ， B= {1,2, {2},3, {3},4,5} ， 
C= {1,2, {2,3},3,4,5} ? 

A.1.02 设 4={12,3,4,5} ，B={3,4,5,6,7}， 列 出 集合 4UB、4MmB8 以 及 {fxe A:xgB} 中 
的 元 素 。 

A.1.03 列 出 集合 {1,2,3} 的 乔 集 中 的 所 有 元 素 。 

A.1.04 设 4={2,3}，B={2,3}， 列 出 备 卡 尔 积 4xB 中 的 所 有 元 素 ( 不 重复 )。 

A.1.05 由 集合 {1,2,3} 到 集合 2,3,4,5} 之 间 有 多 少 个 函数 ? 

A.1.06 由 集合 {1,2,3} 到 集合 {1,2,3, 生 之 间 有 多 少 个 单 射 函 数 ? 

A.1.07 由 集合 41,2,3,4} 到 集合 {1,2,3} 之 间 有 多 少 个 满 射 函数 ? 

A.1.08 如 果 函 数 :4 一 B 和 函数 g:B-》C 均 有 反 函 数 , 证 明 g。f 也 有 一 个 反 函 数 , 而 
且 该 反 函 数 就 是 /1og-!。 

A.1.09 证 明 对 一 个 满 射 函 数 了 :4 一 B 存 在 一 个 右 反 函数 g， 即 存在 一 个 函数 g:B-> 4 
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使 得 fog =id。( 但 不 要 求 go f=id,)。 

A.1.10 证 明 对 一 个 单 射 函数 :4 一 B 存 在 一 个 左 反 函数 g， 即 存在 一 个 函数 g:B->4 
使 得 go。f =id 〈 但 不 要 求 f。8g =idp )。 

A.1.11 给 出 一 个 偶 整数 集合 2Z 到 所 有 整数 集合 Z 的 一 个 双 射 。 

A.1.12(*) 给 出 一 个 由 所 有 整数 集合 到 非 负 整 数 集合 的 一 个 双 射 。 

A.1.13(**) 给 出 一 个 由 所 有 正 整 数 集合 到 所 有 有 理 数 集合 的 一 个 双 射 。 

A.1.14(**) 这 里 举例 说 明 在 形成 集合 时 ， 使 用 过 于 幼稚 的 “规则 ”会 带 来 风险 。 设 S 为 
不 是 自己 的 一 个 元 素 的 所 有 集合 的 集合 ， 即 : S={ 集 合 x: xez 好 证 明 是 否 有 SES 或 SeS ?( 提 
示 : 假设 $ 是 或 者 不 是 它 本 身 的 一 个 元 素 ， 推 导出 一 个 矛盾 的 结论 。 如 何 证 明 ? ) 


A.2 搜索 与 排序 


基本 的 排序 和 搜索 算法 中 的 效率 是 许多 其 他 算法 的 基本 组 成 部 分 。 我 们 将 介绍 一 些 通常 
速度 较 慢 的 排序 算法 〈 如 插入 排序 、 选 择 排 序 和 冒 泡 排 序 )， 然 后 再 介绍 几 个 对 普通 数据 获 
得 较 好 性 能 的 快速 排序 算法 (合并 排序 和 快速 排序 )。 这 个 简短 的 讨论 当然 不 能 公正 地 评价 
所 有 可 能 的 排序 ， 但 我 们 可 以 从 中 领略 一 些 重要 的 思想 。 

特别 地 ， 为 了 确保 各 种 可 计算 算法 以 其 所 声称 的 速度 运行 ， 有 必要 了 解 如 下 两 点 : 

e 一 个 长 为 n 数 表 排 序 好 要 使 用 O(n) 次 比较 ; 

e 在 一 个 长 为 ”县 已 经 排序 好 的 数 表 上 找到 指定 有 元 素 〈 或 者 证 实 不 在 该 数 表 上 ) 需要 

使 用 O(logn) 次 比较 。 

线性 搜索 。 假 设 有 一 个 整数 表 工 = {t,t,,…,t,}， 我 们 的 问题 是 ， 给 定 另 一 个 整数 1， 导 
找 eL， 使 得 t=1,， 或 者 确定 不 存在 这 样 的 1; 。 明 显 而 自然 的 方法 就 是 把 1 分别 与 #1 相 比 ， 
与 1, 相 比 ,与 t; 相 比 ， 等 等 ， 直 到 找到 一 个 匹配 的 数 或 者 到 达 数 表 的 末尾 。 平 均 这 需要 进行 
n/2 次 比较 。 如 果 我 们 对 数 表 的 状态 没有 做 出 任何 假设 ， 则 通常 我 们 所 做 的 比较 几乎 等 于 
n/2 。 这 就 是 线性 搜索 。 

二 分 法 搜索 。 如 果 数 表 工 = {51,s,,…,s,} 已 经 被 排 为 升序 ， 可 以 大 提高 我 们 的 搜索 速度 : 
给 定 另 一 个 元 素 上 ， 我 们 找到 # e 工 ， 使 得 :=t ， 或 者 确定 不 存在 这 样 的 +: ， 我 们 将 最 多 使 用 
ceiling(log, n) 〈 取 整 函 数 ， 恰 好 超过 log2n 的 整数 ) 次 上 与 表 中 元 素 的 比较 。 这 种 方法 采用 
了 一 种 分 而 治之 的 策略 。 为 简便 起 见 ， 我 们 假设 n=2*， 上 为 一 个 整数 (如 若 不 然 ， 我 们 可 
以 在 表 的 末尾 添加 无 意义 的 元 素 使 其 长 度 为 2 的 方 究 )。 首 先 将 1 与 1,,, 比较 ， 如 果 1 专 #),， 
则 我 们 将 在 长 为 n/2 的 表 全 ,s,,…,s,,2} 上 继续 搜索 ; 如 果 t>4,,,， 则 我 们 将 在 长 为 n/2 的 表 
fs 上 继续 搜索 。 这 是 一 次 比较 。 对 长 度 做 归纳 法 ， 每 一 个 这 样 的 对 分 搜索 最 多 需要 








log:= (og nn) -1 次 比较 。 因此， 由 归纳 法 , 递归 地 搜索 我 们 最 多 需要 logyn 次 比较 。 如果 n 
不 是 2 的 方 赛 ， 则 存在 一 个 微小 的 差异 ， 所 以 它 需 要 ceiling(log, n) 次 比较 。 这 就 是 二 分 法 搜 
索 . 

备注 有 序 表 上 的 二 分 法 搜索 与 无 序 表 上 的 线性 搜索 速度 之 比较 ， 清 楚 地 表明 了 针对 有 
序 表 的 快速 算法 的 重要 性 。 

最 大 数 和 最 小 数 。 为 了 寻找 一 个 无 序 整数 表 估 , 卢 …… 刀 } 中 的 最 大 数 或 最 小 数 , 需要 nn-1 
次 比较 。 一 种 寻找 最 小 数 的 进行 了 2 -1 比较 的 方法 概述 如 下 : 第 一 步 取 b= 作为 候选 的 最 
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小 数 。 将 b=4 与 t, 比较 , 如 果 t; < 则 取 5= 作 为 新 的 候选 最 小 数 ， 否则 仍然 保留 p= 为 
候选 最 小 数 。 将 5 与 比较, 如 果 t <5， 则 取 65 = 作为 新 的 候选 最 小 数 ， 否则 仍然 保留 6 不 
变 。 继 续 执 行 比较 操作 ， 直 到 完成 了 与 所 有 1 的 比较 。 最 后 得 到 的 5b 就 是 最 小 数 。 

插入 排序 是 一 种 玩 纸牌 中 常用 的 排序 方法 。 该 方法 对 一 般 的 数据 速度 较 慢 。 给 定 一 个 无 
序 的 数 表 工 = {,…,t,} ， 一 个 新 的 表 M = {51,…,s,)}) 按照 如 下 方法 逐步 产生 : 取 s 为 表 工 中 的 
最 小 数 ， 取 s, 为 表 工 中 去 掉 s 后 的 最 小 数 ， 取 9? 为 表 工 中 去 掉 % 和 s, 后 的 最 小 数 。 反复 进行 
这 一 步骤 ， 取 s, | 为 表 上 中 去 掉 5,…,s,_; 后 的 最 小 数 ， 最 后 一 个 剩余 的 元 素 就 是 s,。 这 总 共 
需要 (nn 一]+(n-2)+-…+3+2+1=n(n 一 有 /2= 0O(m*) 次 比较 。 

备注 注意 在 插入 排序 中 ， 我 们 反复 舍弃 由 比较 所 获得 的 信息 。 尽 管 如 何 利用 这 种 信息 
还 不 完全 清楚 ， 但 反复 舍弃 它 可 能 会 使 我 们 怀疑 存在 可 能 被 纠正 的 效率 低下 问题 。 同 样 的 低 
效率 问题 还 出 现在 选择 排序 中 。 比 如 ， 堆 排序 是 选择 排序 的 一 种 更 为 精巧 的 形式 ， 它 通过 创 
建 和 维护 元 素 的 堆 结构 来 使 用 额外 的 信息 。 | 

选择 排序 与 插入 排序 稍 有 不 同 。 但 需要 相同 的 运行 时 间 。 为 将 一 个 正 整 数 表 
工 = 估 , 访 ， 才 } 按照 大 小 升序 排列 ， 选 择 排序 将 按 如 下 方式 工作 。 首 先 ， 找 到 表 中 的 最 小 整 
数 t; ， 然 后 把 它 移 到 表 的 开头 ， 其 他 元 素 向 后 移 位 。 第 二 ， 找 出 第 二 最 小 的 整数 1,, ， 将 其 移 
到 第 三 个 位 置 ， 其 余 元 素 向 后 移 位 。 第 三 ， 找 出 第 三 最 小 的 整数 1 ， 将 其 移 到 第 三 个 位 置 ， 
其 余 元 素 向 后 移 位 。 以 此 类 推 ， 直 到 排 好 序 ， 这 需要 O(n) 次 比较 。 

留 泡 排序 是 一 个 比较 聪明 的 排序 方法 : 反复 交换 顺序 不 正确 的 邻近 元 素 ， 直 到 整个 表 的 
顺序 排 好 。 该 方法 速度 也 较 慢 ， 在 较 坏 的 情况 下 ， 对 长 为 的 表 排 序 共 需 要 O(z2) 操作 。 另 
一 方面 ， 如 果 数 据 几 乎 接近 排 好 序 ， 则 置 泡 排序 法 会 很 快 完成 排序 。 因 此 ， 在 一 些 比较 成 熟 
的 排序 算法 (混合 排序 ) 中 ， 冒 泡 排 序 法 可 以 作为 其 中 的 一 部 分 。 

合并 排序 较 上 述 排 序 法 速度 要 快 一 些 ， 而 且 可 在 O(nlogn) 时间 内 完成 ， 而 不 是 O(n?) 。 
它 也 使 用 分 而 治之 的 策略 。 为 简便 起 见 ， 假 设 需要 排序 的 数 表 有 2! 个 元 素 (如 若 不 然 ， 我 们 
可 以 在 表 的 末尾 添加 无 意义 的 元 素 使 其 长 度 为 2 的 方 窜 )。 合 并 排序 法 有 如 下 递归 的 定义 ; 
将 整个 数 表 分 成 两 部 分 ， 分 别 对 每 部 分 合并 排序 ， 然 后 再 合并 。 合 并 操作 应 当 将 两 个 长 度 为 
2 中 是 排 好 序 的 数 表 合 并 成 一 个 长 度 为 n=2* 的 有 序 表 。 完 成 将 两 个 有 了 序 的 数 表 
世 =(s0…,56) 和 工 ,= (#1,…,t) 合 并 的 操作 至 多 需要 

a+p-1= 石 的 长 度 + 瑟 的 长 度 -1 
次 比较 ， 操 作 过 程 如 下 。 首 先 ， 如 果 s, <# ， 则 取 s 作为 合并 后 数 表 的 第 一 个 元 素 ， 然 后 将 
它 从 五 中 去 掉 ; 否则 ， 取 作为 合并 后 数 表 的 第 一 个 元 素 ， 然 后 将 它 从 上 ,中 去 掉 。 无 论 在 那 
种 情况 ， 新 的 荆 和 Zz 的 长 度 之 和 减少 1， 而 且 做 了 一 次 比较 。 由 对 a+5 的 归纳 ， 就 证 明了 完 
成 合并 需要 至 多 a+b-1 次 比较 。 

经 过 反复 的 细 分 之 后 ， 合 并 排序 则 会 面临 这 样 一 个 问题 ， 要 对 nn 个 单独 的 包含 单个 元 素 
的 表 排 序 。 每 个 这 样 的 表 根 本 不 需要 比较 。 那么 合并 排序 需要 对 n/2 对 单元 素数 表 进 行 合并 。 
每 个 这 样 的 合并 至 多 需要 1+1-1 次 比较 ， 所 以 共 需 要 (mn/2)1+1-D 次 比较 。 那 么 对 m/14 对 含 
两 个 元 素 的 表 进 行 合并 则 至 多 需要 (nz/4)(2+2-1 次 比较 。 为 了 使 计算 简单 ， 我 们 忽略 所 有 
这 些 “-1” 因为 我 们 可 以 认为 合并 两 个 长 度 分 别 为 a 和 6 的 有 序 表 至 多 需要 a+b 次 比较 。 
这 样 合 并 操作 将 总 共 需 要 至 多 
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2424+2.84+8 L442+42.L<n.logyn 
2 4 8 8 4 2 


次 比较 。 这 也 是 我 们 对 合并 排序 所 期 望 的 估计 值 。 对 于 较 大 的 崭 ， 这 个 估计 值 比 那些 天 真 排 
序 算法 所 需要 的 /2 次 的 比较 要 小 。 

备注 “合并 排序 的 一 个 不 足 之 处 是 即使 是 上 述 粗 略 描述 的 简单 实现 ， 也 需要 额外 的 存储 
器 ， 其 数量 等 于 原始 表 的 长 度 。 

备注 注意 在 前 面 的 所 有 算法 中 我 们 忽略 了 对 表 中 元 素 移 位 的 成 本 。 从 一 定 程度 上 讲 这 
对 上 面 指 定 的 算法 是 适当 的 ， 内 为 在 整个 工作 量 中 比较 操作 是 最 关键 的 一 部 分 。 

快速 排序 是 另外 一 种 分 而 治之 的 排序 算法 。 我 们 将 首先 描述 它 的 原始 形式 ， 其 性 能 是 很 
差 的 ， 然 后 我 们 将 对 其 进行 修改 以 避免 最 坏 情 况 并 利用 其 最 优 情况 的 动作 。 那 么 这 样 的 话 它 
的 运行 速度 就 与 合并 排序 相当 ， 如 果实 现 得 好 的 话 ， 不 需要 过 多 的 存储 器 。 快 速 排序 的 这 种 
改进 形式 已 成 为 一 些 应 用 中 的 排序 工具 ， 如 Unix/Linux，Perl 的 内 置 排序 ，C 的 gsort,Python 
调用 C 的 qsort。 它 本 质 上 是 概率 意义 上 的 算法 ， 这 一 点 有 别 于 其 他 算法 。 

给 定 一 个 需要 排序 的 表 L ， 快 速 排 序 法 首先 猜测 整个 表 的 中 点 。 这 个 被 猜测 的 值 称 为 中 
心 点 (pivot)。 然 后 将 表 划 分 为 两 部 分 ， 即 中 心 点 以 下 的 元 素 和 中 心 点 以 上 的 元 素 。 这 样 的 
每 一 部 分 再 进行 快速 排序 。 因 此 该 算法 的 最 简单 形式 递归 地 调用 自己 ， 同 合并 排序 一 样 。 

对 中 心 点 的 最 简单 的 选择 就 是 选取 表 中 的 最 后 一 个 元 素 或 者 第 一 个 元 素 。 随 机 选 肥 也 是 
合理 的 ， 但 是 需要 生成 一 个 随机 数 。 前 提 条 件 就 是 两 部 分 的 大 小 要 相当 。 如 果 是 这 样 ， 则 运 
行 时 间 的 分 析 大 体 上 与 合并 排序 的 相当 ， 即 O(nlogn) 。 但 是 ， 如 果 中 心 点 的 选择 很 差 ， 使 得 
表 的 一 部 分 与 男 一 部 分 相 比 显得 很 小 ， 则 运行 时 间 会 变 为 O(n?)。 

解决 差 中 心 点 问题 的 方法 就 是 采用 中 值 法 选择 中 心 点 。 该 方法 就 选择 表 上 的 三 个 “随机 ” 
元 素 , 并 以 中 间 值 作为 中 心 点 。 概率 计算 表明 这 样 选择 中 心 点 就 很 可 能 产生 大 小 相当 的 划分 ， 
因此 从 统计 意义 上 保证 了 好 的 运行 时 间 。 

备注 ” 当 用 程序 实现 快速 排序 和 合并 排序 时 ， 要 尽 可 能 避免 让 操作 系统 实现 算法 递归 地 
调用 自己 ， 要 明确 地 处 理 好 递归 调用 。 这 可 能 提高 速度 并 避免 因为 递归 (循环 〉 太 深 而 产生 
的 警告 。 


A.3 向 量 


首先 我 们 回忆 一 下 ， 在 解析 几何 中 ， 一 个 有 序 的 实数 对 (x, y) 通常 用 来 表示 平面 上 的 一 
个 点 , 而 一 个 有 序 的 3 元 组 (x,y,z) 则 表示 三 维 空间 中 的 一 个 点 。 尽管 我 们 可 以 很 容易 地 写 出 
一 个 7 元 组 ， 但 却 无 法 看 清楚 这 到 底 是 一 个 7 维 的 什么 东西 。 实 际 上 这 也 不 是 一 个 问题 。 

同时 ， 在 向 量 的 第 一 种 形式 中 我 们 可 以 看 到 ， 一 个 n 维 向 量 就 是 一 个 有 序 的 元 组 ( 实 
数 或 者 复数 ) y=(v,…,v,)。 

那么 如 何 区 别 “ 向 量 ” 与 “点 ” 呢 ? 这 也 不 是 一 个 问题 : 使 用 向 量 来 表示 一 个 点 就 是 向 
量 的 概念 在 物质 世界 的 具体 解释 的 一 个 例子 。 

维 数 相同 的 两 个 向 量 x 和 y 有 一 个 向 量 加 法 定义 为 : 

X+ y= 0 Xa) tp pa) = Xt pis Xo +t 2 Tn + pn) 
在 这 里 一 个 标量 就 是 一 个 简单 的 数 。 注 意 对 标量 加 法 同样 使 用 向 量 法 的 + 符号 ， 并 且 没 有 提 
及 向 量 的 维 数 ( 这 里 也 不 必要 在 变量 上 加 一 个 箭头 来 表示 向 量 )。n 维 零 向 量 为 0 = (0,0,…,0) 。 
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( 问 样 的 符号 0 既 表 示 任 何 维 数 的 向 量 ， 也 表示 标量 ， 上下文 应 当 能 够 看 出 来 它 到 底 指 什么 ) 

标量 乘 以 上 外 量 的 标量 乘法 定义 如 下 ， 对 标量 c 和 向 量 x = (xi，……x)， 

CX 一 CO) = (CH, CX, CX ) 
而 且 可 以 记 -xz= (CX) 对 p= (1, ),) 
X= ph Xn) 
由 毕 达 哥 拉 斯 定理 ， 我 们 可 以 得 到 二 维 空间 的 距离 公式 : 
(X41 ) 到 (yy ,的 距离 = Va 一 了 十 (X2 一 5) 
类 似 地 我 们 还 有 三 维 空间 的 距离 公式 : 
(15X23)E(y1,y2,) 的 距离 = YG) + (x -y) + (x3 -yy 

一 般 地 ， 对 nn 维 向 量 x=(x,…,x%,)，x 的 范 数 或 长 度 为 |x|= + 过 +…+ 治 ， 并 且 由 

一 个 4 维 向 量 x= (x%,…,x,)〔 它 所 表示 的 点 ) 到 男 一 个 4 维 向 量 y=(y,…,y,)〈 它 所 表示 的 


点 ) 的 距离 为 : 
-VOD + tt 
作为 一 种 特殊 情况 ，|x|-=|x-0|， 那 么 x 的 范 数 就 与 点 x 到 0 的 距离 相同 。 
两 个 ” 维 向 量 x= (xz) 和 y=(y,…,y) 的 内 积 、 标 量 积 或 者 点 积 
KPI + X22 + X33 + + Xi) = X= CX,y) 
注意 向 量 点 积 的 值 是 标量 ， 而 不 是 向 量 。 
命题 设 x,y,z 为 n 维 向 量 ，c 为 一 个 标量 ， 则 有 如 证 结论 : 


® c(xX+y)=cxt+cey 











® xX+(y+2)=(xX+y)+2z 

® XxX:y=y:x 

® Xx:(y+2z)=x-:y+x:zH(y+2):x=y:x+Zz-x 

e (cx).y=c(x.y) 

e |xl=Vxx 

也 许 你 可 能 感到 吃惊 ， 点 积 可 以 用 范 数 来 表示 〈 即 用 距离 来 表示 ): 
命题 ”《〈 极 化 恒等式 ) 对 两 个 n 维 向 量 x 和 y， 如 下 等 式 成 立 : 


1 
Coy)= Txt -|x—y[) 


证 明 如果 我 们 将 等 式 左右 两 边 的 向 量 展开 成 分 量 形式 ， 也 不 难 证 明 恒 等 式 。 但 我 们 这 
里 利用 前 面 的 性 质 如 点 积 的 分 配 律 、 交 换 律 及 距离 表示 来 证 明 

[x+ yl -|x—yP=ty,xty) (x y,x—y) 

= C8,X) + x, yp) + (y, xX) + 6y, yp) ~ (x,X) + (x, ) + Cy, X) — (y, y) 

= 2(x, y)+ 2(y, xX) = 4x, y) 
结论 得 证 。 Cy 

关于 标量 /点 积 的 一 个 最 显然 也 是 最 常用 的 性 质 由 下 述 定 理 给 出 : 

定理 ” 设 x 和 yy 为 两 个 n 维 向 量 ， 且 都 不 为 零 。 令 5S, 是 由 原点 到 x 点 的 线段 ，5, 是 由 原 
点 到 y 点 的 线段 ， 并 设 9 是 5S, 和 5S, 之 间 的 夹 角 ， 则 
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x, y) 
|xily| 

证 明 ”我 们 将 问题 简化 为 一 个 二 维 向 量 的 三 角 问 题 。 我 们 将 使 用 一 个 类 似 于 极 化 恒等式 
的 结论 : (np)=30xp +|y[ 一 |x-y|)。 这 样 定理 的 结论 就 变 为 : 


cosO = 


[x + 一 xz- 划 
21xlly| 
上 式 右边 只 涉及 * 与 ?以 及 zx 和 >) 与 0 之 间 的 距离 。 
这 里 的 三 个 点 x、y 和 0 在 同一 个 平面 ， 无 论 空间 的 维 数 多 大 ， 它 们 仍然 在 同一 平面 。 
这 三 个 点 就 是 六 面 上 一 个 三 角形 7 的 顶点 。9 就 是 三 角形 了 在 顶点 0 的 内 角 。 因 此 ， 如 果 等 


cos0 = 


式 cos0 = 下 对 二 纵向 量 吉 立 ， 那 么 它 它 对 任意 维 的 向 量 都 成 立 。 二 维 向 量 
的 情况 作为 练习 。 全 

定理 (Cauchy-Schwarz-Bunyakowsky 不 等 式 ) 设 x 和 y 为 两 个 n 维 向 量 ， 则 下 述 不 等 
式 成 立 : 《x,y) 导 x|y|。 等 号 成 立 ， 如 果 一 个 向 量 是 另 一 个 向 量 的 倍数 。 

证 明 这 个 结论 实际 上 是 两 个 向 量 之 间 夹 角 作 余弦 公式 的 一 个 直接 结果 ， 但 在 这 里 我 们 
将 不 依靠 任何 几何 的 假设 ,给 出 另 一 种 证 明 。 

设 t 是 一 个 标量 ， 并 考虑 函数 1 = x+b= xz +2t (zx 切 + 纪 | >P， 该 函数 右边 的 展开 
式 利 用 了 前 面 的 性 质 。 当 然 一 个 向 量 的 范 数 是 非 负 的 ， 并 且 只 有 当 向 量 为 0. 时 它 才 为 0。 
此 f(t) 对 所 有 [都 是 非 零 的 ， 除 非 x 是 yy 的 倍数 。 

男 一 方面 ， 我 们 还 可 以 假设 y 不 为 零 向 量 ， 否 则 定理 的 结论 就 变 为 简单 的 两 边 为 0 的 情 
况 。 现 在 我 们 来 求 f() 的 最 小 值 ， 对 Fo 求 1 的 导数， 令 导 数 为 零 以 求解 极 值 点 ; 

0=2(x,y)+2t|y| 


因此 1= 了 区 。( 我 们 知道 ， 这 个 关键 点 偶然 可 能 为 最大 值 ， 而 非 最 小 值 ， 但 实际 上 我 们 并 


不 对 此 作 任 何 假设 1) 当然 F(z) 在 这 -- 点 的 值 是 非 负 的 ， 将 (= 了 代入 7 即 得 : 


< 二 -| 了 xzP- 2 








yr 
整理 后 即 得 (x, y》 专 |x 上 |y| 。 由 此 即 得 定理 的 结论 。 > 


习题 
A.3.01 对 维 数 相同 的 三 个 向 量 x,y,z ， 证 明 x:(y+2z)=x:y+Xx'zZ。 


A.3.02 证 明 对 标量 c 和 向 量 x，| cx|=| cl| xl|。 
A.3.03 证 明 | xz- yP=j xzP -2(x +|yP。 


A.3.04 证 明 ( 切 = 了 (xp +|y| |x-y|). 
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A.3.05 矿 形 的 形状 像 钻石 ， 也 就 是 说 ， 它 是 平面 上 四 个 边 等 长 的 多 边 形 ， 因 此 对 边 是 平 
行 的 。 证 明 (利用 向 量 几 何 ! ? ): 对 角 线 的 平方 和 等 于 周 长 。 
A.3.06 在 二 维 向 量 空间 ， 三 角形 的 三 个 顶点 为 4、B 、C ， 顶 点 C 的 顶 角 0 的 余弦 值 





为 

1A4CP+IBCP -1 4BP 
2|4C|1BC| 

这 里 的 |48 就 点 4 到 点 8 之 间 线 段 的 长 度 。( 余 弦 定 理 的 一 个 版 本 。) 
A.3.07 证 明 (1+2+3+.…+ 站 2? 委 1(12 +224+.…+712) 。 


cosO = 


A.4 矩阵 
一 个 mxn 和 矩阵 就 是 一 个 的 数 块 
Xl X12 X13 Xin 
X21 X22 X23 Xon 
XIX3 X32 X33 Xan 
Xmil Xm2 Xm3 “2 Xmn 


处 于 第 i 行 第 j 列 的 元 素 称 为 第 (i, 有 站 个 元 素 。 如 果 x 是 一 个 矩阵 ， 则 它 的 第 (i, 7) 个 元 素 记 为 


1 。 


通常 我 们 把 ax1 矩阵 称 为 n 维 列 向 量 ， 而 把 1xn 和 矩阵 称 为 n 维 行 向 量 。 
和 矩 阵 加 法 就 是 两 个 行列 相同 的 矩阵 对 应 元 素 直 接 相 加 ; 


Xl NM M3 Nn I V2 V3 in 
X21 X22 X23 2 J 2 O23 … Jon 


X3t X32 X33 … Kan [+t| ya Ja 33 1 yn 
Xm2 Xm3 Xm ml ym2 m3 J mn 


MH Xt X33 Xn + Din 
Xa FH2 X22 tp OX 23 Xzn + Yon 
=| XT X32+Y32 X333 Xn 十 Jan 


Xml tT Ym Xm2 + ym2 Xm3 + ym oo + Ymn 
mxn 的 单位 元 或 者 办 矩阵 0,, 就 是 一 个 所 有 元 素 都 为 0 的 m,n 矩阵, 它 显然 的 性 质 就 是 
它 与 任何 与 它 行列 相同 的 矩阵 x 相 加 仍 得 ; 
X+0%n =X=0,,+x 


当然 还 有 乘法 矩阵 , 它 的 含义 和 计算 比较 复杂 : 对 一 个 太太 矩阵 和- 个 闫 x 和 矩阵， 
乘积 次 的 第 (i, 7) 个 元 素 不 仅 依赖 于 x 的 第 i 行 ， 还 依赖 于 ”的 第 / 列 ， 
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二 JJ 十 X22 tt Xim Ym - 


即 乘积 的 第 (i, j) 个 元 素 为 : 
CV) = Xp + X22 tt Kim my 


四 m 
= > lsl<m Xiyy = > [=1Xi yy 


mx 严 阶 单位 矩阵 1, 就 是 对 角 线 上 元 素 为 1 而 其 他 元 素 全 为 0 的 和 矩阵， 即 
1 0 0 
0 1 0 
0 0 1 


1 = 


1 0 
0 1 
单位 矩阵 1 具有 这 样 的 性 质 ， 即 对 任何 的 mxn 和 矩阵 x 和 一 个 max 严 抢 阵 7 ， 有 如 下 等 式 : 
xlh=x, ly=y 
因为 一 个 kxm 和 矩阵 和 一 个 mxn 和 矩阵 的 乘积 为 kxn 短 阵 ， 所 以 对 任意 正 整 数 n，nxn 阶 
方 阵 既 有 乘法 也 有 加 法 ， 而 且 结 果 仍 为 nxn 阶 方 阵 。 
有 些 mxPm 阶 方 阵 x 存 在 乘法 逆 矩 阵 z !， 即 x.x !=1,=x .x。 这 样 的 方 阵 称 为 是 可 逆 
的 。 一 般 地 ， 对 较 大 的 和 矩阵， 寻找 其 逆 矩 阵 〈 假 设 存在 一 个 ) 的 过 程 从 计算 上 是 较 精密 的 。 
注意 在 上 述 的 运算 中 ， 根 本 没有 依赖 向 量 和 和 拢 阵 中 所 用 数 的 类 型 。 特 别 地 ， 如 果 我 们 使 
用 取 自 纪 , 的 元 素 (不 提 实 数 、 复 数 或 有 理 数 元 素 )， 则 所 有 运算 都 是 有 意义 的 。 
命题 ”和 氟 阵 乘法 满足 结合 律 。 即 对 三 个 行列 相当 的 矩阵 4 到 C ，4(BC)=(4B)C 。 
证 明 设 必 ,BCr 分 别 是 4B,C 的 第 (i 站) 个 元 素 , 令 (48B); 是 4 的 第 全 万 个 元 素 ， 等 
等 。 为 了 证 明 两 个 矩阵 的 乘积 相等 ， 需 要 我 们 证 明 两 个 乘积 的 对 应 项 相等 ， 利用 前 面 逢 阵 条 


积 的 公式 ， 有 : 


(A(BC); = Ai(BC)y = >》 和》 BnCy 
il ! 天 


=》 ABrCy =》 (2 AaBi)Cy 
Lk 了 


对 光 公 和 式 ”375 


=》 (4B)a Cy =((4B)C), 
k 


因此 ， 结 合 律 成 立 。 全 
设 尺 为 Q、R、C 或 Z， 则 所 有 取 值 于 尺 的 关 x 阶 可 道 矩 阵 构成 的 集合 记 为 GL(m, R) 或 
者 GL,(R) ， 称 为 一 般 线性 群 。 


习题 
1 3 
2 6 
A.4.02 找 出 两 个 乘法 不 交换 的 2x2 和 矩阵 4,8 ， 即 满足 4B x BA4。 
A.4.03 找 出 两 个 2x2 符 阵 双 如 ， 它 们 都 不 为 零 矩 阵 ， 但 它们 的 乘积 为 零 矩阵 。 


、 LU 1 NM 
A.4.04 证 明 对 任意 的 正 整 数 N ， "| -| |. 


A.4.01 证 明 直 了 | | GL(2,R) ， 即 它 没 有 道 和 矩阵。 


1 1 0 
A.4.05 wen! 1 | 对 正 整 数 N ， 确 定 计算 x 的 公式 ， 并 证 明 它 的 正确 性 。 
0 0 1 

A.4.06 设 4.8 是 两 个 nxP 可 道 矩 阵 ， 证 明 (4B) 1 = B1471。 

A.4.07 在 GL(2,Z/2) 中 有 多 少 个 元 素 ? 〈 即 在 24 =16 个 取 值 于 Z/2 的 2x2 和 矩阵 中 有 多 
少 个 可 道 矩 阵 ) 


A.4.08 斐 波 那 契 数 的 递归 定义 如 下 : 所 =0， 万 =1 且 忆 w = Pi+ 瓦 。 令 M -| 由 


证 明 对 任意 正 整数 /， [jw 


n 


A.4.09 设 严 是 第 靖 个 斐 波 那 契 数 ， 4wr| 中 证 明 MM -人 | 








n+l FP? 
0 x y 
A.4.10 证 明 对 任何 形 如 M =| 0 0 z | 的 矩阵 有 M? =0;。 
0 0 0 
0 x y 
A.4.11 sw 0 z|， 证明 1 -AMf 可 逆 且 其 逆 矩 阵 (N - M)!=13+M+M’。 
0 0 0 





A.4.12 一 个 矩阵 M 称 为 是 严格 三 角 和 矩阵 ， 如 果 对 ;> ，M; =0。 证 明 一 个 nxn. 上 三 角 
矩阵 MM 满足 M”=0,。 


A.4.13 设 M 是 一 个 mxza 阶 的 严格 三 角 矩 阵 ， 证 明 1, ~-M 是 一 个 可 道 矩阵 且 其 逆 矩 阵 
(1 —M) =1+HM+AU2A+AMI+…+ML。 


A.5 斯 特 林 公 式 
阶乘 函数 n=1.2.3.4.5. … (nn 一 2).(n--]).n 的 性 质 对 我 们 理解 和 掌握 那些 答案 涉及 阶 
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乘 的 计数 问题 具有 非常 重要 的 作用 。 

阶乘 函数 太 最 明显 的 特征 就 是 它 为 一 个 以 n 为 变量 的 增长 非常 快速 的 函数 。 因 此 ， 在 许 
多 情况 下 ， 问 题 可 能 不 是 精确 地 计算 阶乘 ， 而 是 用 一 个 比较 简单 且 我 们 容易 计算 其 大 小 的 函 
数 来 表示 它们 。 我 们 这 里 得 到 的 是 斯 特 林 估计 的 最 简单 情形 ， 但 已 经 足够 了 。 这 个 结论 本 身 
的 证 明 也 是 值得 关注 的 。 

(这 个 估计 在 素数 定理 的 基本 方法 中 作用 也 很 明显 。) 

命题 “极限 lim 存在 ， 且 值 为 VY 。 此 外 ， 对 于 nm>2 


nen 





Vn ie™ .erT <ni< Jp ie .e 市 
证 明 我们 的 证 明 以 作 如 下 比较 开始 。 首 先 比较 

In(n')=Inl+lIn2+lIn3+:…+lnn 

与 积分 
[inxar=trinx -x =(n+l)In(nt+l)- (n+l) 

以 及 

| Inxdx =[xlnx~x] =nlnn—n 
(后 一 个 整数 不 等 于 0， 但 趋 近 于 0。) 因为 ln 函数 是 一 个 增 函 数 ， 所 以 对 
n=2,3,4,.…, 全 Inxdr <Int < |" Inxd 


由 此 我 们 得 nlnn 一 n 志 Innt<(n+D)In(n+1)-(n+1)， 更 进一步 ， 我 们 得 到 
n"e™” <n<(n+D)" ee 
这 里 我 们 选择 了 一 个 很 关键 的 量 (e+ 芭 ina-2， 它 是 介 于 我 们 刚才 得 到 的 上 界 和 下 界 之 
间 一 个 平均 值 。 令 已 = Inn-{(n+ 力 Inn 一 n] 是 用 这 个 平均 值 来 估计 Innl 时 的 误差 。 由 此 有 : 
了 上, 一 已 = nnt[(n+ 1) Inn—n]-[in(n+ DH +1l+t) in +l) -n+1)]] 
=(n+1)In( +t)-—1 


利用 泰勒 展 开 式 loll+ 鸭 =x- 太 -+ 三 -并 +…， 可 以 获得 


A - 直 :南下 
2Mn 2n 3m 
1 1 1 111 1 1 
一 -一 一 + 一 了 一 … 十 一 一 -一 了 了 +- 一 … 一 1 
1 2n 3n 2\n 21 3n 


-二 +- Lili li... 
3 4/Jn 4 6Jn \5 8)n4 6 10)n5 
注意 对 于 n>1， 这 是 一 个 交错 下 降序 列 。 
回忆 一 下 交错 下 降序 列 的 不 等 式 ， 对 一 个 交错 序列 a -a, +a; -as+… 〔 即 对 所 有 i， 
a; >0 且 a,> al)， 有 如 下 不 等 式 成 立 : ， 
ai—a <a—-at+ay at <a -a +a 
1 1 
I2n 1 三 “4004 





1 1 1 
因此 ， Dr mE 一 五 < 
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特别 地 ， 央 为 不 等 式 的 左边 总 是 大 于 零 ， 已 -E,,, 的 每 个 值 都 是 正 值 ， 所 以 序列 ,本 
身 是 下 降 的 。 
给 右 半 边 不 等 式 减 去 五- 并 加 上 一 一 一 本 ， 我 们 得 到 : 
1 1 ] 1 1 1 
(ov he TrD 2 2m 40m 12n 120+D) 
上 面 不 等 式 的 右边 可 以 简化 为 43% ， 对 所 有 n>1， 这 个 值 是 负 值 ， 因 此 序列 
12:40.n (n+1) 











1 
五 一 一 是 \ 中 
"1 是 上 升 的 


因为 5, 本身 是 下 降 的 , 而 已 -~ 二- 却 是 上 升 的 ， 并 且 五- 是 趋 于 零 的 ， 因此 我 们 断定 


是 有 界 的 下 降序 列 ， 所 以 它 有 极限 实际 上 这 个 可 限 为 2， 这 里 训 不 所 证 明了 。 


1 1 ， 

土 ， 给 Je、 < v» - ， 旋 ， 

同样 ， 给 左 半边 不 等 式 减 去 TD er 我 们 得 到 
1 I 


1 
12 ni Bt! Dr Dr " -TD 人 


12((n+1)+1l) 
2 
对 左边 的 式 子 进行 简化 (不 如 前 面 那 么 不 可 思议 ) 合并 后 得 到 ; -2 ”2 对 
n :12n+1)'.12((n +1)+1) 
hn 之 2， 该 式 的 分 子 部 分 满足 


1.» 1 1 17 
22 -2-2=2.[(o- 一 -一 -1]>2.[(2- 天 -一 ]=4>0 
nn [(n ]22.[2 77) -161-4> 


) 


16 


因此 ， 至 少 从 n 宇 2 开始， 序列 EE, - jr 1 是 下 降 的 。 


总 之 ， limE, =C， 并 且 因 为 序列 1 和 





1 
1 都 趋 于 零 , 因此 已 -727 上 升 地 趋 于 C， 
一 一 一 下 降 在 趋 于 C 。 


n 


120+T 
因此 对 于 mn>2，C+- 一 < <C+， 这 也 就 是 有 如 下 不 等 式 : 
12(n+1) 
i ri, 
12(n+1) 2 12n 
这 就 证 明了 命题 的 结论 。 
习题 
A.5.01 利用 斯 特 林 公式 , 证明 存在 一 
辣 顶 ” 的 系数 [加 j<c 2 天 


n 


个 常数 C 使 得 我 们 可 以 用 下 式 估计 二 项 式 展开 “中 


A.5.02 证 明 在 2n 次 抛 括 硬 币 的 试验 中 ， 恰 好 有 nn 次 正面 朝 上 的 概率 小 于 C/VYn，C 为 
某 个 常数 。 
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A.S.03 设 a > oa > ay >… 为 -个 正 实数 序列 ， 且 lima, =0。 令 


S$, =a aytay—…+(-D)" a, 
为 这 个 交错 下 降 和 的 n 次 部 分 和 。 证 明 对 所 有 的 指标 n，S2, < SS ，S， > 9 1。( 即 偶 项 
部 分 和 是 上 升 的 ， 而 奇 项 部 分 和 是 下 降 的 ) 


A.5.04 设 a > a; > as >… 为 一 个 正 实 数 序列 ， 且 1lima, =0 。 假 设 
L=a -a+d3 -a4 + 


的 极限 存在 .证明 对 所 有 的 指标 下， 如 下 不 等 式 成 立 ; 


al 一 0 十 G3 一 04++… 十 GD 一 0 <L<a~-a +a at +a 


A.5.05(*) 证 明 一 个 交错 下 降 的 无 限 和 是 收敛 的 。 即 5, 为 n 次 部 分 和 ， 同 A.5.03。 证 明 


对 每 个 >0， 存 在 一 个 正 整数 NN ， 使 得 对 所 有 i, jj N, |S;-Sj,l<e。 


-ar el， 


1.1.01 
1.1.02 
1.1.07 
1.1.08 
1.1.09 
1.1.11 
1.2.01 
1.2.02 
1.2.03 
1.2.06 
1.2.07 
1.2.08 
1.2.09 
1.2.18 
1.2.20 
1.3.01 
1.3.02 
1.3.0S 
1.4.01 
1.4.02 
1.4.06 
1.4.08 
1.4.12 
1.4.13 
1.4.1S 
1.4.16 
2.1.01 
2.1.03 


2.1.06 


2.1.08 


‘GUVF VF GUR ZRFFNTR” 
‘AOPZ PZ AOL TLZZHNL’ 
“Take me out to the ball game” 
“Our State fair is the best’ 
“Oh, what a beautiful morning” 
“Shark has pretty teeth’ 

10 

29 

10 

78 

44 

122 

56 

77 

69 

‘RBXICEWFYV’ 
‘VHDSJIKBTYV’ 

‘DBZ LDW QFZIS’ 

‘RTTM RT HM RFQUFZCM? 
‘DTTC DT BC DLIOLPAC’ 
(9,15) 

(15,7) 

(a,b) = (2,25) 

(a,b) = (9,18) 

(a,b) = (7,9) 

(a,b) = (17,10) 

3!=6 

51= 120 


9 


2.2.02 


2.2.04 


2.2.07 


2.4.01 
3.1.02 


3.1.03 


3.2.02 
3.2.04 
3.2.08 
3.3.02 
3.3.04 


3.3.05 


3.3.07 


3.3.09 


3.4.04 


3.4.06 


3.S.03 


4.1.02 


4.1.04 


附录 B 部 分 习题 答案 


10Y 10 
5 /2 ~0.24609 


全 中 日 + je 

5S 6 7 

3 .3 -和 0.2066 

S+6 5+6 121 

‘Better late than never” 

‘Unicode is a relatively new idea for 
encoding larger alphabets and 
ideographic system by using two 
bytes per character’ 

‘From the theorem just proven the ratio 
of primitive roots to all elements is 
most often above one quarter’ 

‘theme’ 

cgrimy， 

‘finally and bicycle” 

(125)3476， 阶 为 12， 

(16)25734)， 阶 为 10 


1234567 
(172369 
1 234567 
国生 二 全 和 和 
6.5.4.3/4= 90 


(124836121195107) 

8 循环 为 (1 2 4 8 16 15 13 9), (3 6 12 
71411510) 

使 用 0,1,2,...,11: 
(0) (11) (013954)(26710 8) 

‘BERW AV IC TUH OCLTY NIHVR 
BIQQWXHI’ 

‘TSVK UJ QP AVV RTQMA HTKVZ 
RQFUWXYB’ 
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4.2.02 
4.2.06 
4.2.09 
4.4.02 
4.4.03 
4.4.05 
4.4.06 
S.1.01 
S.1.0S 
S.2.02 
S.3.02 


S.4.02 
7.1.02 
7.1.04 
7.1.09 


7.2.03 


7.3.02 
7.3.0S 
7.3.07 
7.4.03 
7.4.05 
7.4.08 
7.5.02 
7.5.05 
7.5.07 
7.7.0S 
7.7.08 
7.7.10 
7.7.15 
7.8.02 


7.8.06 


3，90 

1，1457 

79 . 

50/14 

60/15 

1/2 

3 

n.2"-l 

x(l+x)/1— x)’ 

35/6 

由 车 内 雪夫 不 等 式 ， 概 率 小 于 等 于 
1/40 

8 

1,2,4,5,8,10,16,20,40,80 
1,2,3,4,6,8,12,16,24,32,48,96 
10510100501= 1.1005 + 5.1004+ 
10.1005 +10.1002+5.100+1= 
(00+1; 
110111101111011=11011x100000?+ 
11011x100000+11011=11011(100000” 
+100000+D)， 所 以 11011 是 一 个 真 因 
子 ， 通过 试 除法 ，3、7、11、13、31、 
37 也 是 。 

347 

1=117x(-34)+173x(23) 

3=12345x3617+54321x(-822) 


[ 





3239 

8 个 :1,5,7,11,13,17,19,23 模 24 

8 

1 

1,12,131,142 
2°=4,23=8,24%11=5,25%11=10, 
26%611=9.270%611=7,2?%611=3,2100611=1 
2 


7.8.08 7 
7.8.10 2 
10.2.02 
10.2.05 
12.1.02 
12.1.04 
12.1.06 
12.4.03 


12.5.02 
12.5.04 
12.5.06 
12.5.08 
12.6.02 
12.6.04 
12.6.07 
12.7.02 
12.7.03 
12,7.05 
13.2.02 
13.2.04 
13.2.06 
13.3.05 
13.4.02 
13.4.04 
13.6.02 
13.7.05 
13.7.08 
13.7.11 
13.8.02 
13.8.03 
13.8.06 
13.8.08 
14.1.02 
14.1.04 


及 有 严 媒 

9 

187183 

9611 

16 

8 

3 

1,7,37,5x5x7,， 11x71， 7x13x37， 
14197， 5x5x7x337,， 37x6553， 
7x11x71x181， 23x174659, 


SxSx7x13x37x193,131x500, 111, 
7x7x379x14,197, 
11x37x61x71x601 

334 

559 


59 

31 

19( 还 有 34、50) 
1 

89 

385 

1,103,118,220 
315520,1456041 
1068,14557 
12,6,12 





(3+1) x (1+1) =8 
(1+3+9+27) x(1+37)=1520 


19.2.02 


19.3.02 
19.3.04 
19.4.02 
19.4.0S 


+]， 是 

+1， 是 

+]， 不 是 

+1， 不 是 

25,325,561,703,817,1105 

对 于 4 = 0,1,2,3,4,6,8,12 ，4 的 倍数 
模 24 的 集合 是 一 个 子 群 ， 每 一 个 
这 种 倍数 集合 都 是 子 群 。 

1,5,7,1] mod12 

3.7=0mod21, 
6.7=0mod21,9.7=0mod21 
3.14 = 0mod21 等 等 。 
7.1=7.12mod77 ， 但 

1x 上 1l2mod77 

Smod7 和 6mod7 
Smod13 和 8 mod13 

x tx +x +x +x+l 

x +x+l 


19.4.07 
20.2.02 


20.2.04 
20.5.02 
22.2.02 


27.1.02 
27.1.04 
27.1.06 
27.1.08 
27.1.10 
27.1.12 
27.2.02 
27.2.04 
27.2.06 
27.2.08 
27.2.10 
27.2.13 
27.2.15 
27.2.17 
27.2.19 


x +xs+x +l 
x +x :+x+l 

x ”+x+l 
3,5,6,7,10,11,12,14 
5,8 

22 

11 

47 
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在 如 今 高 性 能 的 计算 机 普遍 使 用 的 时 候 ， 给 出 这 样 一 些 数 表 似乎 有 点 伪 。 但 是 ， 在 实际 
工作 却 表 明 ， 当 用 机 器 计算 不 可 行 时 ， 有 这 样 一 个 数 表 却 是 非常 有 用 的 。 


表 1 600 以 内 的 整数 分 解 式 
2=2 3=3 
6=2.3 7=7 
10=2 .5 11=11 
14=2 .7 15=3.5 
18=2.3.3 19=19 
22=2 11 23=23 
26=2 .13 21=3. 3.3 
30=2 .3.5 31=31 
34=2 .17 35=5 .7 
38=2 . 19 39=3. 13 
42=2 .3.7 43=43 
46=2 . 23 47=47 
50=2.5.5 51=3. 17 
54=2.3.3.3 55=5 -11 
58=2 . 29 59=59 
62=2 .31 63=3.3.7 
66=2.3.11 67=67 
70=2.5.7 71=71 
74=2 . 37 75=3-5:.5 
78=2.3.13 79=79 
82=2 . 41 83=83 
86=2 . 43 87=3 . 29 
90=2.3.3:.5 91=7 .13 
94=2 . 47 95=5 .19 
98=2.7.7 99=3.3.11 
102=2.3.17 103=103 
106=2 .53 107=107 
110=2 .5 .11 111=3 37 
114=2 .3 19 115=5. 23 


Ol 《CD 


5=5 

9=3.3 
13=13 
17=17 
21=3.7 
25=5.5 
29=29 
33=3. 11 
37=37 
41=41 
45=3.3.5 
49=7 .7 
53=53 
57=3. 19 
61=61 
65=5. 13 
69=3 . 23 
73=73 

77=7 -11 
81=3.3.3.3 
85=5 . 17 
89=89 

93=3 .31 
97=97 
101=101 
105=3.5.7 
109=109 
113=113 
117=3.3:13 
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118=2 .59 119=7 .17 120=2.2.2.3.5 121=11 :11 
122=2. 61 123=3 .41 124=2.2.31 125=5.5.5 
126=2.3.3:7 127=127 128=2.2.2.2.2.2.2 129=3.43 
130=2 .5. 13 131=131 132=2.2:3:11 133=7 . 19 
134=2 .67 135=3 .3 .3 :5 136=2.2.2.17 137=137 
138=2 .+ 3:23 139=139 140=2.2.5.7 141=3. 47 
142=2 -71 143=11 :13 144=2.2.2.2.3.3 145=5 . 29 
146=2 .73 147=3 .7 .7 148=2 .2.37 149=149 
150=2.3.5.5 151=151 152=2.2.2.19 153=3.3.17 
154=2.7.11 155=5 . 31 156=2.2.3.13 157=157 
158=2 .79 159=3 .53 . 160=2.:2.2:2.2.5 161=7 . 23 
162=2.3.3.3.3 163=163 164=2 .2.41 165=3 .5 .11 
166=2 .83 167=167 168=2.2-.2.3:7 169=13. 13 
170=2.5.17 171=3.3.19 172=2.2.43 173=173 
174=2. 3. 29 175=5.5.7 176=2 .2 2.11 177=3 .59 
178=2 .89 179=179 180=2 .2 181=181 
182=2 .7 .13 183=3. 61 184=2.2.2.23 185=5 : 37 
186=2 .3.31 187=11: 17 188=2. 2. 47 189=3.3.3.7 
190=2.5.19 191=191 192=2.2.2.2:2.2.3 193=193 
194=2 . 97 195=3.5.13 196=2.2.7.7 197=197 
198=2 .3 .3 .11 199=199 : 200=2.2.2.5.5 201=3 .67 
202=2 . 101 203=7 . 29 204=2.2.3.17 205=5. 41 
206=2 . 103 207=3 .3.23 208=2.2.2.2.13 209=11 :19 
210=2.3.5.7 211=211 212=2 .2.53 213=3.71 
214=2. 107 215=5 . 43 216=2.2.2.3.3.3 217=7 . 31 
218=2 . 109 219=3 .+ 73 220=2 .2.5.11 221=13 . 17 
222=2 337 223=223 224=2.:2.:2.:2:2:7 220=3.3.5.5 
226=2 .113 227=227 228=2.2.3.19 229=229 
230=2. 5. 23 231=3.7.11 232=2.2.2.29 233=233 
234=2.3.3.:13 235=5 .47 236=2.2.59 237=3 .79 
238=2 .7 .17 239=239 240=2.2.2.2.3.5 241=241 
242=2.11.11 243=3 .3.3.3.3 244=2.2.61 245=5 .7 .7 
246=2 .3 41 247=13. 19 248=2.2.2.31 249=3 . 83 
250=2.5.5.5 251=251 252=2.2.3.3:7 253=11 :23 
254=2: 127 255=3.5:17 256=2 257=257 
258=2. 3:43 259=7. 37 260=2.2.5.13 261=3.3.29 
262=2 .131 263=263 264=2.2.2.3:11 265=5. 53 
266=2 :7.19 267=3 .89 268=2 .2.67 269=269 
270=2.3.3.3.5 271=271 272=2.2.2.2.17 273=3.7.13 


385 


275=5.5.11 276=2 .2.3.23 277=277 
279=3 . 3. 31 280=2.2.2.5.7 281=281 
283=283 284=2.2.71 285=3.5.19 
287=7 . 41 288=2.2.2.2.2.3.3 289=17.17 
291=3 . 97 292=2 .2.73 293=293 
295=5 . 59 296=2 .2.2 .37 297=3.3.3.11 
299=13 . 23 300=2.2.3.5.5 301=7 .43 
303=3 . 101 304=2.2.2.2.19 305=5. 61 
307=307 308=2.2.7.11 309=3 . 103 
311=311 312=2.2.2.3.13 313=313 
315=3.3.5.:7 316=2.2.79 317=317 
319=11. 29 320=2.2.2.2.2.2.5 321=3.107 
323=17 . 19 324=2.2.3.3.3.3 325=5.5.13 
327=3 . 109 328=2.2.2.41 329=7 . 47 
331=331 332=2.2.83 333=3 .3.37 
335=5 . 67 336=2.2.2.2.3.7 337=337 
339=3 . 113 340=2.2.5.17 341=11. 31 
343=7 .7.7 344=2 .2 .2 .43 345=3 .5.23 
347=347 348=2.2.3.29 349=349 
351=3.3.3.13 352=2.2.2.2.2.11 353=353 
355=5 .71 356=2 .2.89 .357=3 .7 .17 
359=359 360=2.2.2.3.3.5 361=19.19 
363=3.11.11 364=2.2.7.13 365=5 . 73 
367=367 368=2 .2.2.2.23 369=3 .3.41 
371=7 . 53 372=2.2.3.31 373=373 
375=3.5.5.5 376=2.2.2.47 377=13 . 29 
379=379 380=2.2.5.19 381=3 . 127 
383=383 384=27 .3 385=5.7.11 
387=3 .3.43 388=2 + 2 .97 389=389 
391=17 . 23 392=2.2.2.7.7 393=3 . 131 
395=5 .79 396=2.2.3.3.11 397=397 
399=3.7.19 400=2.2.2.2.5.5 401=401 
403=13 . 31 404=2 .2 . 101 405=3.3.3.3.5 
407=11 . 37 408=2. 2.2.3.17 409=409 
411=3. 137 412=2 . 2 . 103 413=7 . 59 
415=5 . 83 416-=2.2.2.2.2.13 417=3.139 
419=419 420=2 .2.3.5.7 421=421 
423=3 .3.47 424=2 . 2.2.53 425=5.5.17 
427=7 . 61 428=2 .2 . 107 429=3. 11. 13 
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430=2 . 5. 43 431=431 432=2.2.2.2.3.3.3 433=433 
434=2 .7 .31 435=3 .5. 29 436=2 . 2. 109 437=19. 23 
438=2 .3 .73 439=439 440=2.2.2.5.11 441=3.3.7.7 
442=2 .13 .17 443=443 444=2 .2.3.37 445=5 . 89 
446=2 . 223 447=3 . 149 448=2.2.2.2.2.2.7 449=449 
450=2 .3.3.5.5 451=11 .41 452=2.2.113 453=3. 151 
454=2 . 227 455=5 .7 .13 456=2.2.2.3.19 457=457 
458=2 . 229 459=3.3.3.17 460=2.2.5.23 461=461 
462=2.3.7.11 463=463 464=2.2.2.2.29 465=3 :5.31 
466=2 . 233 467=467 468=2.2.3.3.13 469=7 . 67 
470=2 . 5. 47 471=3 .157 472=2.2.2.59 473=11 .43 
474=2 .3.79 475=5.5.19 476=2 .2.7.17 477=3 .3.53 
478=2 . 239 479=479 480=2.2.2.2.2.3.5 481=13.37 
482=2 . 241 483=3 .7 . 23 484=2.2.11.11 485=5 . 97 
486=2 .3.3.3.3.3 487=487 488=2.2.2.61 489=3 . 163 
490=2.5.7.7 491=491 492=2.2.3.41 493=17 . 29 
494=2 .13 . 19 495=3 .3.5.1!1 496=2.2.2.2.31 497=7 .71 
498=2 .3.83 499=499 500=2.2.5 501=3 . 167 
502=2 . 251 503=503 504=2.2.2.3.3.7 505=5 . 101 
506=2. 11. 23 507=3 . 13. 13 508=2 . 2 . 127 509=509 
510=2.3.5.17 511=7.73 512=2" 513=3.3.3.19 
514=2 . 257 515=5 . 103 516=2.2.3.43 517=11. 47 
518=2 .7.37 519=3 . 173 520=2.2.2.5.13 521=521 
522=2.3.3.29 523=523 524=2.2.131 525=3.5.5.7 
526=2 . 263 527=17 .31 528=2.2.2.2.3.11 529=23.23 
530=2 .5.53 531=3.3.59 532=2.2.7.19 533=13 . 41 
534=2 .3.89 535=5 . 107 536=2 .2.2.67 537=3 . 179 
538=2 . 269 539=7 .7.11 540=2.2.3.3.3.5 541=541 
542=2 . 271 543=3 . 181 544=2.2.2.2.2.17 545=5.109 
546=2 .3.7.13 547=547 548=2 . 2. 137 549=3. 3.61 
550=2 .5.5.11 551=19 . 29 552=2.2.2.3.23 553=7 . 79 
554=2 . 277 555=3 . 5. 37 556=2 .2 . 139 557=557 
558=2.3.3.31 _ 559=13 . 43 560=2.2.2.2.5.7 561=3. 11 .17 
562=2 . 281 563=563 564=2 .2.3.47 565=5 . 113 
566=2 . 283 567=3.3.3.3.7 568=2.2.2.71 569=569 
570=2.3.5.19 571=571 572=2 .2.11.13 573=3 . 191 
574=2 .7 .41 575=5. 5. 23 576=2 .3? 577=577 
578=2 .17.17 579=3. 193 580=2.2.5.29 581=7 . 83 


582=2 .3.97 583=11: 93 584=2.2.2.73 585=3 .3:5.13 


党 已 妆 导 387 





586=2 ,293 587=587 588=2 2.3.7.7 589=19. 31 
590=2 .5 .59 591=3. 197 592=2.2.2.2:.37 593=593 
594=2.3.:3:3.11 595=5.7.17 596=2.2.149 597=3 . 199 
598=2. 13 .23 599=599 600=2.2.2.3.5.5 601=601 


表 2 10 000 以 内 的 素数 表 


3, 5, 7, 11, 13, 17, 19, 23. 29, 31, 37, 41, 43, 47, 53, 59, 61, 67, 71, 73, 79, 83, 89, 97, 
101, 103, 107, 109, 113, 127, 131, 137, 139, 149, 151, 157, 163, 167, 173, 179, 181, 
191, 193, 197, 199, 211, 223, 227, 229, 233, 239, 241, 251, 257, 263, 269, 271, 277, 
281, 283, 293, 307, 311, 313, 317, 331, 337, 347, 349, 353, 359, 367, 373, 379, 383, 
389, 397, 401, 409, 419, 421, 431, 433, 439, 443, 449, 457, 461, 463, 467, 479, 487, 
491, 499, 503, 509, 521, 523, 541, 547, 557, 563, 569, 571, 577, 587, 593, 599, 601, 
607, 613, 617, 619, 631, 641, 643, 647, 653, 659, 661, 673, 677, 683, 691, 701, 709, 
719, 727, 733, 739, 743, 751, 757, 761, 769, 773, 787, 797, 809, 811, 821, 823, 827, 
829, 839, 853, 857, 859, 863, 877, 881, 883, 887, 907, 911, 919, 929, 937, 941, 947, 
953, 967, 971, 977, 983, 991, 997, 1009, 1013, 1019, 1021, 1031, 1033, 1039, 1049, 
1051, 1061, 1063, 1069, 1087, 1091, 1093, 1097, 1103, 1109, 1117, 1123, 1129, 1151， 
1153, 1163, 1171, 1181, 1187, 1193, 1201, 1213, 1217, 1223, 1229, 1231, 1237, 1249, 
1259, 1277, 1279, 1283, 1289, 1291, 1297, 1301, 1303, 1307, 1319, 1321, 1327, 1361， 
1367, 1373, 1381, 1399, 1409, 1423, 1427, 1429, 1433, 1439, 1447, 1451, 1453, 1459, 
1471, 1481, 1483, 1487, 1489, 1493, 1499, 1511, 1523, 1531, 1543, 1549, 1553, 1559, 
1567, 1571, 1579, 1583, 1597, 1601, 1607, 1609, 1613, 1619, 1621, 1627, 1637, 1657, 
1663, 1667, 1669, 1693, 1697, 1699, 1709, 1721, 1723, 1733, 1741, 1747, 1753, 1759 
1777, 1783, 1787, 1789, 1801, 1811, 1823, 1831, 1847, 1861, 1867, 1871, 1873, 1877, 
1879, 1889, 1901, 1907, 1913, 1931, 1933, 1949, 1951, 1973, 1979, 1987, 1993, 1997， 
1999, 2003, 2011, 2017, 2027, 2029, 2039, 2053, 2063, 2069, 2081, 2083, 2087, 2089， 
2099, 2111, 2113, 2129, 2131, 2137, 2141, 2143, 2153, 2161, 2179, 2203, 2207, 2213, 
2221, 2237, 2239, 2243, 2251, 2267, 2269, 2273, 2281, 2287, 2293, 2297, 2309, 2311, 
2333, 2339, 2341, 2347, 2351, 2357, 2371, 2377, 2381, 2383, 2389, 2393, 2399, 2411, 
2417, 2423, 2437, 2441, 2447, 2459, 2467, 2473, 2477, 2503, 2521, 2531, 2539, 2543, 
2549, 2551, 2557, 2579, 2591, 2593, 2609, 2617, 2621, 2633, 2647, 2657, 2659, 2663, 
2671, 2677, 2683, 2687, 2689, 2693, 2699, 2707, 2711, 2713, 2719, 2729, 2731, 2741, 
2749, 2753, 2767, 2777, 2789, 2791, 2797, 2801, 2803, 2819, 2833, 2837, 2843, 2851, 
2857, 2861, 2879, 2887, 2897, 2903, 2909, 2917, 2927, 2939, 2953, 2957, 2963, 2969， 
2971, 2999, 3001, 3011, 3019, 3023, 3037, 3041, 3049, 3061, 3067, 3079, 3083, 3089, 
3109, 3119, 3121, 3137, 3163, 3167, 3169, 3181, 3187, 3191, 3203, 3209, 3217, 3221, 
3229, 3251, 3253, 3257, 3259, 3271, 3299, 3301, 3307, 3313, 3319, 3323, 3329, 3331, 
3343, 3347, 3359, 3361, 3371, 3373, 3389, 3391, 3407, 3413, 3433, 3449, 3457, 3461, 
3463, 3467, 3469, 3491, 3499, 3511, 3517, 3527, 3529, 3533, 3539, 3541, 3547, 3557, 
3559, 3571, 3581, 3583, 3593, 3607, 3613, 3617, 3623, 3631, 3637, 3643, 3659, 3671, 
3673, 3677, 3691, 3697, 3701, 3709, 3719, 3727, 3733, 3739, 3761, 3767, 3769, 3779, 
3793, 3797, 3803, 3821, 3823, 3833, 3847, 3851, 3853, 3863, 3877, 3881, 3889, 3907, 
3911, 3917, 3919, 3923, 3929, 3931, 3943, 3947, 3967, 3989, 4001, 4003, 4007, 4013, 
4019, 4021, 4027, 4049, 4051, 4057, 4073, 4079, 4091, 4093, 4099, 4111, 4127, 4129， 
4133, 4139, 4153, 4157, 4159, 4177, 4201, 4211, 4217, 4219, 4229, 4231, 4241, 4243, 
4253, 4259, 4261, 4271, 4273, 4283, 4289, 4297, 4327, 4337, 4339, 4349, 4357, 4363, 
4373, 4391, 4397, 4409, 4421, 4423, 4441, 4447, 4451, 4457, 4463, 4481, 4483, 
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4493, 4507, 4513, 4517, 4519, 4523, 4547, 4549, 4561, 4567, 4583, 4591, 4597, 4603, 
4621, 4637, 4639, 4643, 4649, 4651, 4657, 4663, 4673, 4679, 4691, 4703, 4721, 4723, 
4729, 4733, 4751, 4759, 4783, 4787, 4789, 4793, 4799, 4801, 4813, 4817, 4831, 4861, 
4871, 4877, 4889, 4903, 4909, 4919, 4931, 4933, 4937, 4943, 4951, 4957, 4967, 4969, 
4973. 4987, 4993, 4999, 5003, 5009, 5011, 5021, 5023, 5039, 5051, 5059, 5077, 5081, 
5087, 5099, 5101, 5107, 5113, 5119, 5147, 5153, 5167, 5171, 5179, 5189, 5197, 5209, 
5227, 5231, 5233, 5237, 5261, 5273, 5279, 5281, 5297, 5303, 5309, 5323, 5333, 5347, 
5351, 5381, 5387, 5393, 5399, 5407, 5413, 5417, 5419, 5431, 5437, 5441, 5443, 5449, 
5471, 5477, 5479, 5483, 5501, 5503, 5507, 5519, 5521, 5527, 5531, 5557, 5563, 5569, 
5573, 5581, 5591, 5623, 5639, 5641, 5647, 5651, 5653, 5657, 5659, 5669, 5683, 5689, 
5693, 5701, 5711, 5717, 5737, 5741, 5743, 5749, 5779, 5783, 5791, 5801, 5807, 5813, 
5821, 5827, 5839, 5843, 5849, 5851, 5857, 5861, 5867, 5869, 5879, 5881, 5897, 5903, 
5923, 5927, 5939, 5953, 5981, 5987, 6007, 6011, 6029, 6037, 6043, 6047, 6053, 6067， 
6073, 6079, 6089, 6091, 6101, 6113, 6121, 6131, 6133, 6143, 6151, 6163, 6173, 6197, 
6199, 6203, 6211, 6217, 6221, 6229, 6247, 6257, 6263, 6269, 6271, 6277, 6287, 6299, 
6301, 6311, 6317, 6323, 6329, 6337, 6343, 6353, 6359, 6361, 6367, 6373, 6379, 6389, 
6397, 6421, 6427, 6449, 6451, 6469, 6473, 6481, 6491, 6521, 6529, 6547, 6551, 6553, 
6563, 6569, 6571, 6577, 6581, 6599, 6607, 6619, 6637, 6653, 6659, 6661, 6673, 6679, 
6689, 6691, 6701, 6703, 6709, 6719, 6733, 6737, 6761, 6763, 6779, 6781, 6791, 6793, 
6803, 6823, 6827, 6329, 6833, 6841, 6857, 6863, 6869, 6871, 6883, 6899, 6907, 6911, 
6917, 6947, 6949, 6959, 6961, 6967, 6971, 6977, 6983, 6991, 6997, 7001, 7013, 7019， 
7027, 7039, 7043, 7057, 7069, 7079, 7103, 7109, 7121, 7127, 7129, 7151, 7159, 7177, 
7187, 7193, 7207, 7211, 7213, 7219, 7229, 7237, 7243, 7247, 7253, 7283, 7297, 7307, 
7309, 7321, 7331, 7333, 7349, 7351, 7369, 7393, 7411, 7417, 7433, 7451, 7457, 7459, 
7477, 7481, 7487, 7489, 7499, 7507, 7517, 7523, 7529, 7537, 7541, 7547, 7549, 7559, 
7561, 7573, 7577, 7583, 7589, 7591, 7603, 7607, 7621, 7639, 7643, 7649, 7669, 7673, 
7681, 7687, 7691, 7699, 7703, 7717, 7723, 7727, 7741, 7753, 7757, 7759, 7789, 7793， 
7817, 7823, 7829, 7841, 7853, 7867, 7873, 7877, 7879, 7883, 7901, 7907, 7919, 7927， 
7933, 7937, 7949, 7951, 7963, 7993, 8009, 8011, 8017, 8039, 8053, 8059, 8069, 8081, 
8087, 8089, 8093, 8101, 8111, 8117, 8123, 8147, 8161, 8167, 8171, 8179, 8191, 8209, 
8219, 8221, 8231, 8233, 8237, 8243, 8263, 8269, 8273, 8287, 8291, 8293, 8297, 8311, 
8317, 8329, 8353, 8363, 8369, 8377, 8387, 8389, 8419, 8423, 8429, 8431, 8443, 8447, 
3461, 8467, 8501, 8513, 8521, 8527, 8537, 8539, 8543, 8563, 8573, 8581, 8597, 8599, 
8609, 8623, 8627, 8629, 8641, 8647, 8663, 8669, 8677, 8681, 8689, 8693, 8699, 8707, 
8713, 8719, 8731, 8737, 8741, 8747, 8753, 8761, 8779, 8783, 8803, 8807, 8819, 8821, 
8831, 8837, 8839, 8849, 8861, 8863, 8867, 8887, 8893, 8923, 8929, 8933, 8941, 8951, 
8963, 8969, 8971, 8999, 9001, 9007, 9011, 9013, 9029, 9041, 9043, 9049, 9059, 9067， 
9091, 9103, 9109, 9127, 9133, 9137, 9151, 9157, 9161, 9173, 9181, 9187, 9199, 9203, 
9209, 9221, 9227, 9239, 9241, 9257, 9277, 9281, 9283, 9293, 9311, 9319, 9323, 9337, 
9341, 9343, 9349, 9371, 9377, 9391, 9397, 9403, 9413, 9419, 9421, 9431, 9433, 9437， 
9439, 9461, 9463, 9467, 9473, 9479, 9491, 9497, 9511, 9521, 9533, 9539, 9547, 9551, 
9587, 9601, 9613, 9619, 9623, 9629, 9631, 9643, 9649, 9661, 9677, 9679, 9689, 9697， 
9719, 9721, 9733, 9739, 9743, 9749, 9767, 9769, 9781, 9787, 9791, 9803, 9811, 9817， 
9829, 9833, 9839, 9851, 9857, 9859, 9871, 9883, 9887, 9901, 9907, 9923, 9929, 9931, 
9941, 9949, 9967, 9973. 


表 3 100 以 内 的 本 原 根 


3 的 本 原 根 为 2。 
5 的 本 原 根 为 2、3。 
7 的 本 原 根 为 3、5。 
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11 的 本 原 根 为 2、6、7、8。 

13 的 本 原 根 为 2、6、7、11。 

17 的 本 原 根 为 3、5、6、7、10、11、12、14。 

19 的 本 原 根 为 2、3、10、13、14、15。 

23 的 本 原 根 为 5、7、10、11、14、15、17、19、20、21。 

29 的 本 原 根 为 2、3、8、10、11、14、15、18、19、21、26、27。 

31 的 本 原 根 为 3、11、12、13、17、21、22、24。 

37 的 本 原 根 为 2、5、13、15、17、18、19、20、22、24、32、35。 

41 的 本 原 根 为 6、7、11、12、13、15、17、19、22、24、26、28、29、30、34、35。 

43 的 本 原 根 为 3、5、12、18、19、20、26、28、29、30、33、34。 

47 的 本 原 根 为 5、10、11、13、15、19、20、22、23、26、29、30、31、33、35、38、 
39、40、41、43、44、45。 

53 的 本 原 根 为 2、3、5、8、12、14、18、19、20、21、22、26、27、31、32、33、34、 
35、39、41、45、48、50、51。 

59 的 本 原 根 为 2、6、8、10、11、13、14、18、23、24、30、31、32、33、34、37、38、 
39、40、42、43、44、47、50、52、54、55、56。 

61 的 本 原 根 为 2、6、7、10、17、18、26、30、31、35、43、44、51、54、55、59。 

67 的 本 原 根 为 2、7、11、12、13、18、20、28、31、32、34、41、44、46、48、50、 
51、57、61、63。 

71 的 本 原 根 为 7、11、13、21、22、28、31、33、35、42、44、47、52、53、55、56、 
59、61、 62、63、65、67、68、69。 

73 的 本 原 根 为 5、11、13、14、15、20、26、28、29、31、33、34、39、40、42、44、 
45、47、53、58、59、60、62、68。 

79 的 本 原 根 为 3、6、7、28、29、30、34、35、37、39、43、47、48、53、54、59、60、 
63、66、68、70、74、75、77。 

83 的 本 原 根 为 2、5、6、8、13、14、15、18、19、20、22、24、32、34、35、39、42、 
43、45、46、47、50、52、53、54、55、56、57、58、60、62、66、67、 
7T1、72、73、74、76、79、80。 

89 的 本 原 根 为 3、6、7、13、14、15、19、23、24、26、27、28、29、30、31、33、35、 
38、41、43、46、48、51、54、56、58、59、60、61、62、63、65、66、 
70、74、75、76、82、83、86。 

97 的 本 原 根 为 5、7、10、13、14、15、17、21、23、26、29、37、38、39、40、41、 
56、 57、58、59、60、68、71、 74、76、80、82、83、84、87、90、92。 





